ハッキングを受けたカーブのネイティブトークンCRV　CEXの価格フィードが価格崩壊から救う

　　Prashant Jha

　　2023年08月01日 14:30

　　ハッキングを受けたカーブのネイティブトークンCRV CEXの価格フィードが価格崩壊から救う

　　7月30日、プログラミング言語「Vyper」に見つかった脆弱性により、複数のカーブファイナンス（Curve Finance）の流動性プールが攻撃を受けた。Vyperは、イーサリアム仮想マシン（EVM）のために作られたコントラクトプログラミング言語だ。

　　カーブファイナンスは、その流動性サービスの面から、重要な分散型金融（DeFi）プロトコルの1つであるため、このコードの脆弱性は約1億ドル相当のデジタル資産を危険にさらしている。

　　Vyperの脆弱性はバージョン0.2.15、0.2.16、0.3.0で見つかり、リエントランシーロックの不具合を引き起こした。その結果、aETH/ETH、msETH/ETH、pETH/ETH、CRV/ETHの4つのプールから数百万ドルが流出した。この欠陥は他の多くのプロトコルにも影響を及ぼす可能性がある。

　　「このリエントランシー問題は、“use_eth”の使用と関連しており、WETH関連プールを危険にさらす可能性がある」とBlockSecチームはツイッターで指摘している

　　カーブファイナンスのネイティブトークン（CRV）の価格は、プールからの大量流出によりDeFi市場で大きく下落したが、最終的には中央集権型取引所の価格フィードによって救われた。CRVの価格は分散型取引所（DEX）で0.086ドルにまで下落したが、中央集権型取引所（CEX）では0.60ドルで取引され、ネイティブトークンの価格がゼロになるのを防いだ。

　　カーブプールは、中央集権型取引所を含む複数の価格フィードを組み込んだChainlinkのオラクルシステムを使用している。CEXの価格フィードがなければ、カーブファイナンスは崩壊していた可能性がある。

　　この皮肉な事態は、バイナンスのチャンポン・ジャオCEOの注目を引き、最終的にはCexの価格フィードがDeFiエコシステムを救ったと語った。ジャオ氏は、バイナンスがVyperの脆弱性による影響を受けていないと指摘し、バイナンスがコードを最新バージョンに更新していることを強調した。

　　「CEXの価格フィードがDeFiを救う。バイナンスのユーザーは影響を受けていない。我々のチームはVyperのリエントランシー脆弱性を確認した。我々はバージョン0.3.7以上を使用している。コードライブラリ、アプリ、OSを最新の状態に保つことが重要だ。そして、#SAFUを維持することだ」とジャオ氏はツイッターで語った。

　　Vyperコードの初期バージョンのバグは、少なくとも1年半前から存在しているとされ、攻撃者はリリース履歴を深く掘り下げ、大量の資金が関係する大規模なプロトコルへの攻撃可能な問題を見つけたと考えられる。ツイッター上のVyperプログラムのコントリビューターは、攻撃に投入された時間とリソースの大きさから、国家が支援するグループによる攻撃かもしれないと指摘している。