米国連邦捜査局(FBI: Federal Bureau of Investigation)は8月29日(米国時間)、「Cyber Criminals Increasingly Exploit Vulnerabilities in Decentralized Finance Platforms to Obtain Cryptocurrency, Causing Investors to Lose Money」において、サイバー犯罪者が分散型金融(DeFi: Decentralized Finance)プラットフォームの欠陥を悪用し、暗号資産を窃取するケースが増加していると警告した。分散型金融プラットフォームのスマートコントラクトの脆弱性が突かれ、投資家の暗号通貨が盗まれているという。

  • Cyber Criminals Increasingly Exploit Vulnerabilities in Decentralized Finance Platforms to Obtain Cryptocurrency、Causing Investors to Lose Money

    Cyber Criminals Increasingly Exploit Vulnerabilities in Decentralized Finance Platforms to Obtain Cryptocurrency, Causing Investors to Lose Money

スマートコントラクトとは、買い手と売り手の間の契約条件を分散型ブロックチェーンネットワーク上に存在するコード行に直接書き込んだ、自己実行型の契約のこと。サイバー犯罪者が、投資家の暗号資産に対する関心の高まり、クロスチェーン機能の複雑さ、分散型金融プラットフォームのオープンソースの性質などを悪用しようとしていると伝えている。

例えば、米国のブロックチェーン分析会社Chainalysisの調査によると2022年1月から3月にかけて、サイバー犯罪者によって13億ドルの暗号資産が盗まれ、そのほぼ97%が分散型金融プラットフォームからだったという。分散型金融プラットフォームを標的とした攻撃は2020年の30%、2021年の72%と年々増加しており、さらにChainalysisの調査とは別に、FBIによって次のような方法で被害が発生したことが確認されている。

  • サイバー犯罪者が分散型金融プラットフォームのスマートコントラクトの悪用を誘発するフラッシュローンを開始し、投資家とプロジェクトの開発者から約300万ドルの暗号通貨を窃取
  • 分散型金融プラットフォームのトークンブリッジの署名検証の脆弱性が悪用されて同プラットフォームの全投資額が引き出され、約3億2千万ドルの損失が発生
  • 分散型金融プラットフォームが用いる価格情報参照ツールなどにある脆弱性が悪用され、暗号資産の価格ペアを操作してスリッページチェックを回避し、価格計算誤差を利用したレバレッジ取引を行うことで約3500万ドルの暗号資産が窃取される

FBIは投資はリスクを伴うとしており、投資家は自己の財務目標および財務資源に基づいて投資判断を行い、疑問がある場合は認可を受けた財務アドバイザーに助言を求めるよう推奨している。また、投資を行う前に分散型金融プラットフォームについて詳細に調べ、コードが徹底的な監査を受けていることを確認し、オープンソースのコードリポジトリがもたらすリスクを意識するよう助言している。