- 1 Badger DAOハッキングは100億円以上の被害
- 2 Badger DAOのハッキング原因
- 3 イーサリアムのApproveとは?
- 4 Approveによる制限設定の例
- 5 ハッカーのコントラクトを確認する
- 6 エアドロップされたトークンを安全に売却するには?
- 7 安全な脚切り条件
- 8 まとめ
ビットコインにフォーカスしたイールドアグリゲーターであるBadger DAOはハッキングによってイーサリアム上のビットコインやCurve FinanceのCRV、Convex FinanceのCVXなど約100億円を超える被害となりました。Badger DAOのハッキング被害はイーサリアム上にデプロイされているコントラクトではなく、Badger DAOの公式インターフェースであると見られています。
本稿ではBadger DAOハックのようなApproveによるフィッシング被害とどうすれば事前に被害を防げたのかについて詳しく解説を行います。
Badger DAOハッキングは100億円以上の被害
Badger DAOとはステーブルコインAMMのCurve FinanceやCRVブーストアグリゲータのConvex Finance、イールドアグリゲーターのYearn Financeなど多くのコントラクトを相互運用するイールドアグリゲーターを指します。ことの発端は2021年12月2日にBadger DAOユーザーから
「不審なトランザクションの署名を求められた」
という報告が元で、当初Badger DAO運営は公式UIの不調であると否定していたものの、多くのユーザーが資産が盗まれたと報告してことが発覚したのです。
このトランザクションに署名をしてしまったユーザーはBadger DAOが取り扱っていたイーサリアム上のビットコインやCurve FinanceのCRV、Convex FinanceのCVXを含む100億円
Badger DAOのハッキング原因
原因はBadger DAOのイーサリアム上のコントラクトではなく、フロントエンドつまりBadger DAOの公式ページがハッキングされたことが原因となっています。Badger DAOハックの原因を調べているChainalysisは
「Badger DAOのAPIが悪用されたことを確認した」
と述べているのです。
これはcloudflareのAPIキーがなんらかの方法で流出したことで、ハッカーが所有する偽のコントラクトアドレスである0x1FCdb04d0C5364FBd92C73cA8AF9BAA72c269107がBadger DAOの公式サイトに埋め込まれたことが直接の原因となっているということです。
ですがイーサリアムのコントラクトとApproveという特性から日頃から使用する際に正しく理解し、気をつけていればBadger DAOハックの被害は被らなかったのです。Approveについてはリサーチレポート「DeFiで資産を盗まれないための対策方法イーサリアム上でApproveを安全に署名するには?」を参照してください。
イーサリアムのApproveとは?
イーサリアムのApproveとは、
「DeFiなどのコントラクトを使用する際に行う送金許可の署名」
を指します。
ここでApproveのよくある誤解として
「Approveは
