NEAR Protocol上の主要な分散型金融(DeFi)ハブであるRhea Financeにおいて、オラクル(ブロックチェーンに外部データを取り込む仕組み)の操作を悪用したエクスプロイトが発生しました。この攻撃により、プロトコルから約760万ドルの資産が流出したことが報告されています。価格操作を目的とした巧妙な手法が用いられており、DeFiプロトコルの安全な運用における価格参照プロセスの重要性が改めて浮き彫りとなりました。
オラクル操作による資産流出の経緯
今回のエクスプロイトでは、攻撃者が「偽のトークン」と「新規に作成された流動性プール」を組み合わせて利用したことが判明しています。攻撃者はこれらを用いることで、プロトコルが価格参照に使用しているオラクルを欺き、特定の資産価格を意図的に操作(ミスリード)したとされています。
操作された価格情報を基にプロトコルから資産が引き出された結果、被害額は合計で760万ドルに達しました。DeFiにおけるオラクル操作は、価格の歪みを利用して不正な利益を得る典型的な攻撃手法の一つですが、今回は新規の流動性プールを悪用して価格形成を操作した点が特徴的です。
Rhea Financeの概要と背景
Rhea Financeは、NEAR Protocolのエコシステムにおいて中心的な役割を担うDeFiプラットフォームです。既存の主要プロトコルであった「Ref Finance(分散型取引所)」と「Burrow(レンディングプラットフォーム)」の合併によって誕生しました。
同プラットフォームは「チェーン・アブストラクション(チェーンの抽象化)」を掲げ、ユーザーが複雑なブリッジ操作を意識することなく、ビットコインやイーサリアム(EVM)互換チェーン、Solanaなどの異なるネットワークの資産をシームレスに取引・貸借できる環境の提供を目指しています。NEARエコシステムの流動性を統合するハブとして機能していたため、今回の被害は同ネットワーク内のDeFi利用にも影響を与える可能性があります。
ポイント
- Rhea Financeにおいて、オラクル操作を悪用したエクスプロイトが発生し、約760万ドルが流出しました。
- 攻撃者は偽のトークンと新しい流動性プールを自ら作成し、オラクルの価格参照を誤認させる手法を用いました。
- Rhea FinanceはNEAR Protocol上の主要DEXとレンディングプラットフォームが合併して誕生した、エコシステムの中心的なDeFiハブです。
- 今回の事例は、複数の資産やチェーンを統合するDeFiプラットフォームにおいて、外部データ(価格オラクル)の正確性と操作耐性を確保することが、ビジネス継続上の極めて重要な課題であることを示しています。