Rubic DEXアグリゲーターのハッキングにより、ユーザー資金140万ドルが盗まれる

クロスチェーン分散型金融（DeFi）プロトコル「Rubic」が侵害され、ユーザーのアドレスに保管されていた資金が流出し、ハッカーに送金された。

12月25日、ルービックプロトコルは、ルーティング契約の1つが侵害され、状況が完全に把握されるまですべての契約を停止すると発表した。発表内容は次の通り。

ルビカンの皆様、ルーティング契約の 1 つが侵害された可能性があります。状況を完全に把握するまで、すべての契約が停止されます。https://t.co/rDZSZrTUTe を使用しないでください。https://t.co/F8QMpyd517 をできるだけ早く https://t.co/hwLI2Cwkt1 から取り消してください。

— ルービック（@CryptoRubic）2022年12月25日

プロトコルの作成者は、revoke.cash ツールを使用して契約の承認を取り消すようユーザーにアドバイスしました。ブロックチェーン サイバー セキュリティ企業 PeckShield の Twitter スレッドでは、Rubic プロトコルの脆弱性により、スマート コントラクトを承認したウォレットから直接 141 万ドル相当の資金が失われたと説明されています。

Rubic @CryptoRubic がエクスプロイトされる (～$1.41M) https://t.co/ckAfQr9kgm1,100 ドルの ETH がすでにエクスプロイト者から Tornado Cash に送金されている https://t.co/yPkrC2hFCZ pic.twitter.com/25rLUcMbkf

— ペックシールド株式会社 (@peckshield) 2022年12月25日

エクスプロイトのアドレスは、USD Coin（USDC）ステーブルコインを介した取引でUniswap分散型取引所（DEX）から資金を受け取っていた。PeckShied氏は、サポートされているルーターに誤ってUSDCを追加したためにハッキングが可能になったと説明した。さらに、「ruterCallNativeの検証不足」も悪意のあるコントラクトの使用を可能にした。

chatGPT の助けを借りてスマート コントラクトを素早く分析すると、ruterCallNative 関数に「_params」および「_data」パラメータの無効な入力など、多数の潜在的な脆弱性が含まれていることが示唆されます。これにより、攻撃者が悪意のある入力を渡すことができ、誤った動作や意図しない動作を引き起こす可能性があります。

さらに、関数に渡される「_gateway」パラメータは制限されていないため、攻撃者がコントラクトを作成し、それを RubicProxy コントラクトによって実行できる可能性があります。

実際、攻撃者は攻撃に使用されたカスタム スマート コントラクトを展開しました。デコードされたバイトコードには、攻撃者が攻撃を可能な限り効率的に実行できるようにした 337 行のコードが示されています。

ハッカーのアドレスは、最初に1,161.55イーサリアム（ETH）の送金を受け取り、さらに26.88 ETHの送金を受け取りました。どちらもUniswapプロトコルからUSDCのみを吸い上げ、ラップされたイーサリアム（WETH）と交換したものです。このWETHはすべて、不正に得た資金を匿名化するために、オンチェーンミキサーと認可された組織であるTornado Cashに送信されました。

オンチェーン分析によると、コイン匿名化サービスに送信された受信トランザクションのうち145万ドル相当がハッカーのアドレスから発信されており、サービスの総受信価値は約290万ドルです。言い換えれば、今日ミキサーに送信された資産の約半分が、悪用者によって送信されたことになります。

トルネード。12月25日に処理された現金の入金。ハッカーのアドレスは右側にあります。 | アーカム・インテリジェンス提供

ハッカーの資金がサービスの入金額のかなりの部分を占めているにもかかわらず、その匿名性は依然として高い。この預金は、今日処理された Tornado Cash からの 200 万ドルの引き出しの一部、またはスマート コントラクトにまだ預けられている 1 億 7,400 万ドル相当の資産の一部である可能性がある。

Tornado Cash は、現在では違法となっている DeFi プロトコルで、ユーザーは Ethereum ブロックチェーン上で匿名で送金を行うことができます。このプロトコルは、ゼロ知識証明 (ZK 証明) を使用して、トランザクションの入力アドレスと出力アドレスを非表示にします。第三者がトランザクションに関与する当事者の身元や送金の具体的な目的を特定することは困難です。

Tornado Cash は、Ethereum ブロックチェーン上に構築され、Ethereum ウォレットを持つすべての人がアクセスできるオープンソース プロジェクトです。ユーザーは、Ethereum ウォレットまたは分散型ホスティング サービス InterPlanetary File System (IPFS) を通じて利用可能な Web インターフェイスを使用して、Tornado Cash コントラクトとやり取りできます。ユーザーは、資金を Tornado Cash コントラクトに送信し、新しいアドレスに引き出すことで、ETH または ERC-20 標準に準拠したトークンの匿名転送を実行できます。

このニュースは、北朝鮮のハッカーが過去5年間で約12億ドル相当の暗号通貨やその他の仮想資産を盗んだという最近の報道を受けてのものだ。これらのハッキングのほとんどは2021年だけで発生した。