yETH 無限ミント攻撃の全貌と影響解説

みなさん、こんにちは。

yETHに無限ミント攻撃が発生

分散型金融（DeFi）で知られるヤーン・ファイナンス（Yearn Finance）が、2023年12月1日に自社のリキッドステーキングトークン集約製品「yETH」が攻撃を受けたことを発表しました。

攻撃者はスマートコントラクトの脆弱性を突き、yETHトークンを無制限に発行（ミント）する手法で、単一のトランザクションでプールから実際の資産を大量に引き出しました。

ブロックチェーンの記録によると、攻撃者は約1,000ETH（約4億5,000万円相当）を仮想通貨ミキシングサービス「Tornado Cash」へ送金。さらに、攻撃に使われた複数のスマートコントラクトはトランザクション後に自己破壊されており、被害の全容はまだ明らかになっていません。

攻撃前のyETHプールには約1,100万ドル（約16億5,000万円）相当の資産がありましたが、ヤーン・ファイナンスは現在も調査を続けています。一方で、Yearn Vault（V2およびV3）は影響を受けていないと発表し、yETH保有者は安全にETHへ引き出しが可能になったとのことです。

ヤーン・ファイナンスの背景と過去のセキュリティ事件

ヤーン・ファイナンスは2020年にイーサリアム上でスタートしたDeFiプロトコルで、レンディングやイールドファーミング、保険サービスなどを提供しています。預かり資産総額（TVL）は約6億ドル（約900億円）を超え、DeFi界隈でも大手の一角を占めています。

ただし、過去にも複数回のセキュリティインシデントがあり、2021年2月にはyDAI Vaultが約280万ドルの被害を受け、2023年4月にはyUSDT Vaultで約1,160万ドルの損失が発生しています。今回の攻撃もその流れの一つとして注目されています。

今回の事件は、スマートコントラクトの設計や監査の重要性を改めて示すものと言えそうです。DeFiは便利な反面、こうしたリスクも伴うため、利用者は常に最新の情報をチェックし、リスク管理を心がける必要がありそうですね。

引き続きウォッチしていきたいですね！