マガジン内検索

墨汁マガジンVol.636「Badger DAOハッキングの概要 どうすれば危険なイーサリアムApproveを避けられたのか?」

ビットコインにフォーカスしたイールドアグリゲーターであるBadger DAOはハッキングによってイーサリアム上のビットコインやCurve FinanceのCRV、Convex FinanceのCVXなど約100億円を超える被害となりました。Badger DAOのハッキング被害はイーサリアム上にデプロイされているコントラクトではなく、Badger DAOの公式インターフェースであると見られています。

本稿ではBadger DAOハックのようなApproveによるフィッシング被害とどうすれば事前に被害を防げたのかについて詳しく解説を行います。

Badger DAOハッキングは100億円以上の被害

Badger DAOとはステーブルコインAMMのCurve FinanceやCRVブーストアグリゲータのConvex Finance、イールドアグリゲーターのYearn Financeなど多くのコントラクトを相互運用するイールドアグリゲーターを指します。ことの発端は2021年12月2日にBadger DAOユーザーから

 

「不審なトランザクションの署名を求められた」

 

という報告が元で、当初Badger DAO運営は公式UIの不調であると否定していたものの、多くのユーザーが資産が盗まれたと報告してことが発覚したのです。

このトランザクションに署名をしてしまったユーザーはBadger DAOが取り扱っていたイーサリアム上のビットコインやCurve FinanceのCRV、Convex FinanceのCVXを含む100億円

Badger DAOのハッキング原因

原因はBadger DAOのイーサリアム上のコントラクトではなく、フロントエンドつまりBadger DAOの公式ページがハッキングされたことが原因となっています。Badger DAOハックの原因を調べているChainalysisは

 

「Badger DAOのAPIが悪用されたことを確認した」

 

と述べているのです。

これはcloudflareのAPIキーがなんらかの方法で流出したことで、ハッカーが所有する偽のコントラクトアドレスである0x1FCdb04d0C5364FBd92C73cA8AF9BAA72c269107Badger DAOの公式サイトに埋め込まれたことが直接の原因となっているということです。

ですがイーサリアムのコントラクトとApproveという特性から日頃から使用する際に正しく理解し、気をつけていればBadger DAOハックの被害は被らなかったのです。Approveについてはリサーチレポート「DeFiで資産を盗まれないための対策方法イーサリアム上でApproveを安全に署名するには?」を参照してください。

 

イーサリアムのApproveとは?

イーサリアムのApproveとは、

 

「DeFiなどのコントラクトを使用する際に行う送金許可の署名」

 

を指します。

ここでApproveのよくある誤解として

 

「Approveは

*ここから先はオンラインサロン会員専用です
マガジン内検索