米国司法省（DOJ）は、ベトナム人が開発したカイバーネットワークプロジェクトの分散型金融（DeFi）プラットフォームであるカイバースワップへの攻撃の詳細を発表した。したがって、カナダ国籍のアンデアン・メジェドビッチ（22歳）は、2023年末に発生し、KyberSwapユーザーに4,840万ドルの損失をもたらしたハッキン​​グの背後にいるとして告発されています。

ハッカーの攻撃方法

KyberSwap を使用すると、ユーザーは暗号通貨を流動性プールにクラウドファンディングしながら交換できます。これにより、システムは、人々がいつでも交換できるトークンのプールを持つことができます。ハッカーはKyberSwapのスマートコントラクトの脆弱性を悪用し、「フラッシュローン」ツールを使用して一時的に多額の資金を借り入れ、その資金を流動性プールに投入した。

その後、ハッカーは価格を操作し、綿密に計算された取引を行ってシステムを騙し、ソフトウェアの計算ミスを引き起こして預けた金額よりも多くの資産を引き出すことに成功した。

起訴状の中で、司法省は、この脆弱性を計算手順における「四捨五入の誤差」と表現している。たとえば、トークンスワップ制限は 1,056,056,735,638,220,800,000 ですが、ハッカーは 1,056,056,735,638,220,799,999 (わずか 1 ユニット少ない) を注文しました。これはまだ制限内ですが、四捨五入のルールにより一部の機能が設計どおりに動作せず、悪用可能な脆弱性が生じています。

メジェドビッチ氏はこのような取引を77回行い、ユーザーのウォレットから総額4,840万ドルを盗んだ。その後、メジェドヴィッチ容疑者は、別の取引所に資金を移したり、トークンミキサーに入れたりするなど、さまざまなトリックを使って痕跡を消した。

メジェドビッチ氏は不法侵入罪に加え、盗まれた資産の一部を返還するのと引き換えにカイバー・ネットワークの経営権の一部を譲るよう要求するメッセージを送信した恐喝罪でも告発されている。 22歳のハッカーも捜査官をうまく騙せたと自信満々だった。しかし、痕跡削除ツールで問題に遭遇したメジェドビッチ氏は、その人物が潜入捜査官であるとは予想もせず、「ソフトウェア開発者」に助けを求めた。

KyberSwap レスポンス

Kyber NetworkのCEO、トラン・フイ・ヴ氏によれば、同社は失われた資産をまだ全て回復していないものの、ユーザーに積極的に返還しているという。この重大なインシデントにより、Kyber Networkは2023年末に組織再編を余儀なくされ、スタッフの50%を削減し、KyberSwap Elastic機能を一時的に閉鎖しました。

司法省はこれを、DeFiスマートコントラクトの抜け穴を悪用した巧妙な窃盗だと呼んだ。観測者らは、この事件はすべてのDeFiプロジェクトに対し、脆弱性を常にチェックし、複雑な取引注文には注意し、リスク対応計画を立てることを思い出させるものだと述べている。 DeFiの人気が高まるにつれ、メジェドビッチ氏の攻撃は、ハッカーが計算ロジックのごく小さな欠陥さえも見つけて悪用できることを示している。

「DeFiの複雑さにもかかわらず、我々は大規模な窃盗の犯人を追跡し、逮捕することができた」と米国司法省の代表者は断言した。この事件は、犯人が幾重もの隠蔽工作をしていたとしても、当局には犯人を見つけ出し、法の裁きを受ける手段がまだあることの証拠だとみなされている。