24億円が流出したHarvest Financeへのフラッシュローン攻撃の解説

目次

  • 前提
  • Harvest上で発生した資金流出の全貌
  • コードのバグではない資金流出にどう対処するか
  • 総論

前提

本レポートではHarvest Finance(以下Harvest)上で発生した資金流出の概観を行います。HarvestはユーザーがデポジットしたUSDCやWBTC等のアセットをCurve等で運用し、運用先の独自トークンとHarvestの独自トークンFARMを付与するサービスです。DeFiのファーミングにはある程度の専門知識と調査時間が必要であるため、指定されたアセットをデポジットしておくだけでファーミング作業を代行してくれるサービスには需要があり、独自トークンの価格も比較的高い水準を保っていました。
しかし、今回の流出を受けて独自トークンFARMは50%以上下落し、TVL(Token Value Locked:プラットフォーム上にデポジットされているトークン時価総額)も大幅に減少しました。今回の出来事は「2社によるコード監査を受けているプロダクトでも大きな資金流出が発生する可能性はある」、「マネーLEGOの構造によって攻撃手法が多様化しており、単純なコードのバグではない資金流出もあり得る」などいくつかの事実を界隈に示したという点で注目に値します。
https://www.coingecko.com/en/coins/harvest-finance
今回発生した資金流出はフラッシュローンを利用したものです。

概要

  • 10月26日、USDCとUSDTのVaultからの資金流出が発覚。資金を流出させた手口はHarvestにデポジットされたステーブルコインの運用先として利用されていたCurveのY poolを利用したもの。
  • Harvestの運用戦略は、プラットフォームに預けられている資産の時価を計算し、その数値を基に新規ユーザーがプラットフォームに資産を預けたときに、いくらの債権トークンが新規発行され割り当てられるかを決定する。同様にユーザーが預けた資産を引き出すときにも利回りを含めた引き出し額を計算するために、プラットフォーム上の資産時価が利用される。
  • 運用先として利用されていたCurveは、アービトラージやImpermanent loss、スリッページなどの市場の影響を受ける。
フラッシュローンを利用した攻撃は以前にもbZxに対して行われています。

*参照レポート:オラクル利用のレンディングプラットフォームからETHを掠め取るハッキング事例
https://hashhub-research.com/articles/2020-02-24-defi-oracle-attack

このレポートはBasicプラン以上のご契約者様限定のレポートです。

Basicプランのユーザとして登録すると続きをお読みいただけます。