オラクル利用のレンディングプラットフォームからETHを掠め取るハッキング事例

目次

  • 前提
  • bZxの単一オラクルであったKyberを利用した手法
  • 被害者視点で利用者リスクを考える
  • 攻撃のスケールが矮小化され一般人の認知が進んだ
  • 総論

前提

本レポートではレンディングプラットフォーム「bZx」で発生したオラクル操作によってEtherを掠め取った手法を解説します。bZxでは2回被害(と表現しても良いと思います)が発生しています。
一回目はオラクルではなくUniswapの価格を人為的に操作したものでした。つまり、Uniswapで価格を下げた上で、Uniswapで買い上げる手法です。2回目の手法では、bZxが価格を参照していたKyberNetworkでの価格を操作し、bZx内で本来の上限を超えて借り入れを行うことに成功しています。こちらはオラクルを突いた攻撃です。
レンディングプラットフォームの概要や一回目の手法は以下のレポートで解説しています。
*レポート:bZxの3000万円消失事件の解説と今後のDeFiの利用方法
https://hashhub-research.com/articles/2020-02-20-incident-blockchain

このレポートはBasicプラン以上のご契約者様限定のレポートです。

Basicプランのユーザとして登録すると続きをお読みいただけます。