- 1 Mochi Inu(MOCHI)とは?
- 2 RFC(Risk Factor Categories)
- 3 USDMプールの52億円ハックで83%下落
- 4 USDMプールの攻撃概要
- 5 ガバナンストークンMOCHIの問題
- 6 Bribeによる騙しと攻撃準備
- 7 Convex Financeの利用
- 8 Curve FinanceのエマージェンシーDAOとは?
- 9 USDMプールのGaugeをキル
- 10 Convex Financeでの対応
- 11 Mochi Inuの攻撃の狙い
- 12 まとめ
Curve Financeのファクトリープールの1つであるUSDMプールは、Mochi Inuの運営により攻撃を受けてUSDM価格が崩壊するというCurve Finance初の攻撃事件となりました。今回のCurve FinanceのUSDMプールの攻撃は、墨汁うまいがファクトリープールの仕組みから事前に危険であると指摘していたものであり、USDMプールで流動性マイニングをしていたユーザーが注意していれば事前に防げたものであったと言えるでしょう。
本稿ではMochi Inu(MOCHI)のUSDMプールの攻撃概要となぜこのようなハックができたのか、今後Curve Financeで安全に資産運用するために気をつけなければいけないことについて詳しく解説を行います。
ファクトリープールとそのリスクについては墨汁マガジンVol.578「Curve FinanceのCRVファーミングAPYが低下し続ける理由 プールファクトリーとは?」を参照してください。
Mochi Inu(MOCHI)とは?
Mochi Inu(MOCHI)とは2021年8月にイーサリアム上にローンチしたMaker DAOのようなアルゴリズミックステープルコインプロジェクトです。Mochi InuではステープルコインのUSDMをイーサリアムやビットコイン、さらにUSDCやDAIなどのステーブルコインも担保に発行することができ、CRVやCVXなど含む100種類以上のDeFiトークンに対応しています。
出典:Mochi Inu – USDMを発行するためのMochi Inu Vault
RFC(Risk Factor Categories)
Mochi Inuは担保となるステーブルコインやETH、DeFiトークンなどを1から6段階の価格変動リスク評価となるRFC(Risk Factor Categories)を設定していました。またこのRFCによってMaker DAOと同様の安定化手数料を決定しており、一見するとまともなプロジェクトのように見えていたのです。
出典:Mochi Inu – カテゴリーごとのリスクファクター
USDMプールの52億円ハックで83%下落
Mochi InuのUSDMはCurve Financeのファクトリープールを利用して作成され、USDM発行後にDAIやUSDCにスワップできる環境が整えられていました。今回の事件はこのCurve FinanceのUSDM流動性プールから4600万DAI、日本円にして約52億円がドレインされたというCurve Finance初の攻撃となっています。
USDMプールからほとんどDAIがドレインされたことにより、USDM価格は83%まで下落。つまりUSDCやDAI、USDTなどのステーブルコインをUSDMプールで流動性マイニング及びイールドファーミングしていたユーザーは約83%の資産を一律で失ったということになります。
USDMはファクトリープールのリスク、CRVの高いAPYで流動性プールを選んでいなければ未然に被害を防げたという典型例と言えるでしょう。CRVのAPYで流動性マイニングをしてはいけない理由については墨汁マガジンVol.563「Curve Financeの流動性マイニングプールの選び方 CRVの利回りで選んではいけない理由」を参照してください。
USDMプールの攻撃概要
ではCurve FinanceのUSDMプールの攻撃について見てみましょう。今回のMochi InuのUSDMプールドレインの攻撃原因となったのは
1.Convex Financeの報酬
2.Bribe
3.