270万ドルのハッキングで投資家に衝撃を与えたHectorDAOが沈黙

Fantomネットワーク上のヘクター分散自律組織HectorDAOの投資家らは、270万ドルの損失をもたらした1月16日のハッキングを受けて、紅茶がすべての通信を停止させたとされることを受けて、プロトコルの残りの資金の管理を要求している。

CryptoMoonとの会話の中で、匿名を希望するHectorDAO投資家は、HectorDAOチームが1月19日にコミュニティとのコミュニケーションを停止したと述べた。情報筋によると、プロジェクトのすべてのソーシャルチャネルは2023年9月にミュートされたという。

当時、HectorDAO チームはまだ Google グループのメール アドレスを介した連絡を許可していました。しかし、DAOは1月19日より前にこのグループを削除したとされている。

さらに悪いことに、このハッキングは、プロトコル自体が解散して投資家に資産を返還する計画を立てていた矢先に発生しました。以前のセキュリティ警告は無視されたとされています。

ブロックチェーンセキュリティ企業CertiKによると、同社の研究者らはHectorDAOチームに対し、エクスプロイトの根本原因である「addEligibleWallet」機能によってもたらされる「集中化」リスクを伝え、このリスクを軽減する手順を推奨したという。

HectorDAO チームは、不明な理由で推奨された変更を実装しないことを選択したと言われています。 CertiK は、CryptoMoon の公式監査報告書に言及し、その報告書では、この関数はモデレーター権限を持つ任意のアカウントによって呼び出すことができると述べています。

270万ドルのハッキングで投資家に衝撃を与えたHectorDAOが沈黙

HectorDAO は別のバージョンの話を伝え、プロトコルが CertiK と連携して徹底的なスマート コントラクト セキュリティ分析を実施し、CertiK の声明に反して「すべての資産は実稼働請求プロセスの開始前に Redemption Vault で保護された」と主張しています。 」

その後、ブロックチェーン分析により、攻撃者がチームのデプロイヤ アカウントにアクセスしたとされることが判明し、これはエクスプロイトが内部の仕事か秘密キー侵害の結果であることを示唆しています。開発チームが投資家に伝えた最後の連絡は1月18日で、その後沈黙を守った。

@Hector_Network は今週月曜日に 3 回目のハッキングを受けました。それはほぼ間違いなく、不満を抱いた開発チームによる内部仕業だ。

私はこのエクスプロイトの事後分析を作成し、複数のデプロイヤ ウォレットがこのイベントをどのように調整したかを説明しました。

— lilbagscientist (@lilbagscientist) 2024 年 1 月 19 日

HectorDAO ハッキングの起源

HectorDAO の物語は、初期の投資家が DAO 債券を通じて DAO のトークン HEC を割引価格で購入できるようになった 2021 年に始まります。このプロセスを通じて調達された資金は DAO の財務省に送られ、理論的には、各 HEC トークンは財務省の一部の所有権を表し、再投資してトークン所有者に利回りを生み出すことができます。

最盛期には、HectorDAO の財務省には 1 億ドルを超えるデジタル資産が保管されていました。

しかし、仮想通貨の冬の始まりとともに問題が始まりました。 CoinMarketCapのデータによると、2023年5月1日までにHECの価格は99%近く暴落した。同時に、HectorDAO財務省の価値も下落しました。

2023 年 7 月 6 日に発生した 15 億ドル規模のマルチチェーン ブリッジ ハッキングによって Fantom エコシステムに伝染が引き起こされたことで、これらの困難はさらに加速しました。これにより、HectorDAO の財務資産の一部がイーサリアム担保から切り離され、さらに 800 万ドルの損失が発生しました。

この事件の後、HectorDAOの投資家はDAOの撤退を決定し、2023年7月にDAOを清算してその資金をユーザーに返還する投票を行った。しかし、投票にもかかわらず、投票時に財務省が保有していた1,600万ドルのほとんどは、HectorDAOハッキング前夜の2024年1月15日までにまだ投資家に分配されていなかった。

1 月 15 日、HectorDAO チームは最終的に財務資金を償還可能な新しい契約に移すことで資金を分配しようと試みました。しかし、悪意のあるアカウントは、わずか 0.0001 HEC を入金しただけで、すぐに 270 万ドル相当の資産を自分自身に送金しました。

その後間もなく、チームは償還プラットフォームを閉鎖し、残りの資産はすべて財務契約に戻されました。それ以来、償還は再開されていません。

1 月 18 日、HectorDAO チームは引き換えプラットフォームがハッキングされたと発表しました。 「Hector Networkは、プロトコルが清算の一環としてトークン所有者を償還する際にセキュリティ侵害が発生し、2024年1月15日に約270万USDCが盗まれたことを残念ながらお知らせします」と述べた。

同チームは、この侵害を「積極的に調査」しており、将来的に最新情報を提供すると主張した。一方で、「償還プロセスは当面延期される」と述べた。

ハッキングの発表を受けて、一部のトークン所有者は、ハッキングは不正な開発者の仕業か秘密鍵の漏洩のいずれかであると主張して、開発チームを真っ向から非難した。彼らは、チームがDAOの資金を確保することをもはや信頼できないと主張した。

1/ @hector_network コミュニティのメンバーは最近、償還契約が以前に 270 万ドルで悪用されたのではないかと懸念を表明しました。

事実の大まかな調査

— 0xBoboShanti (@ 0xBoboShanti) 2024 年 1 月 15 日

1月19日、ブロックチェーンアナリストのLilbagscientistは、Etherscanのデータを引用して、攻撃に関する詳細な事後報告書を発表した。彼らによると、攻撃の準備は 2023 年 12 月 16 日に始まり、HectorDAO デプロイヤー アカウントが攻撃者に 0.0001 HEC を送信しました。この 0.0001 HEC は 1 月 15 日までアカウントに保管されていました。

UTC 午前 12 時 32 分から 1 月 15 日午前 12 時 43 分まで、一連の 14 件のトランザクションが HectorDAO チームの財務マルチシグ ウォレットによってイーサリアムに送信されました。これらの取引が確認されると、国庫資金の一部が HectorDAO 一時国庫マルチシグに移動され、その他は Hector 清算マネージャーに送金されました。

その後、ヘクター清算マネージャーは、一時財務省マルチシグに送信する前に、分散型取引所でトークンの一部を他のトークンと交換しました。このプロセスの終わりに、HectorDAO の財務全体が一時財務マルチシグに送信されました。

1月15日の午前3時14分から午前4時19分までの間に、追加の16件の取引が一時財務省マルチシグによって実行され、資金がヘクター償還財務省契約に移されました。

午前 5 時 12 分に、攻撃者はトークンの承認を行い、ヘクター償還契約によって最大 1 HEC の消費が許可されました。その直後、彼らは契約に 0.0001 HEC を入金しました。

1分後、チームのデプロイヤアカウントは、プラットフォームのToken VaultコントラクトのaddEligibleWallet関数を呼び出して、攻撃者のウォレットをホワイトリストに登録しました。この取引では、USD コイン (USDC) の償還率も 270 万ドル相当に設定されました。

午前 5 時 59 分に、攻撃者は Token Vault コントラクトに対して mintWithdraw を呼び出しました。これにより、ヘクター償還契約により 270 万ドルの USDC が攻撃者に送金され、預けられていた 0.0001 HEC が焼き払われました。このトランザクションにより攻撃が完了しました。

明確な前進はない

HectorDAO Web サイトの最新の更新は 1 月 18 日に投稿されました。最後の段落には、引き換えプロセスが「当面延期される」と記載されています。

「ヘクターネットワークはこの問題に対処するために精力的に取り組んでおり、このプロセス全体を通して透明性を維持することに尽力しており、あらゆる進展について常に最新情報を提供します」とチームは書いています。

一方、HectorDAOの投資家らは、プロトコルの開発者との接触が何度も失敗に終わる中、法的措置を検討していると述べている。当初、支払いはDAOの清算に伴う投資家への補償として3月に予定されていた。ハッキングに関する調査は続けられています。

CryptoMoon は HectorDAO チームにコメントを求める連絡を試みましたが、公開までに返答は得られませんでした。

2024-02-13 18:11