DEV Protocol のエアドロップでトークンを横取りされた話

Dev Protocol からの 26万円分の DEV トークンがフロントランニングされた話です。

Dev Protocol という「OSSをトークン化して持続可能に変える」というコンセプトを掲げたプロジェクトがあります。先日、その DEV が Airdrop を開始することを知ったので早速参加してみました。総額2億はすごいですね。 

＼全世界のOSS開発者に総額2億3000万円を配布します🎉／https://t.co/vxZ3Krjamqリリース1周年を記念して、OSS開発者へこれまでの貢献に感謝をこめDEV Airdropを開始します🎁
Githubを登録されている方は是非チェックしてみてください👀

詳細はこちらをご覧くださいhttps://t.co/UijI9ONWSI

— Dev Protocol JP (@devprtcl_jp) May 28, 2021

自分の GitHub アカウントでいくらもらえるか試してみたところ、まさかの日本円で 26万円！！早速受け取ろうとします。

26万！？ I received 400 DEV with my GitHub contributions https://t.co/maMqXUX7mU #devprotocol

— はっさん🍵個人開発 (@hassasa3) May 28, 2021

受け取りでは Iroiro というサイトに飛んだ後 Metamask を接続し、Claim する流れです。Etherscan への導線もあり、トランザクションの様子が見れる状態でした。Iroiro 自体は初見でしたね。

Iroiro

ここで不穏な空気が流れます。トランザクションの完了までに30分ほどかかっていました。

反映がめっちゃ遅い pic.twitter.com/K331Mbbyfo

— はっさん🍵個人開発 (@hassasa3) May 28, 2021

更新しつつ待っていると...ファ！？

Drop already Claimed (既に請求済み) ??

Metamask を確認してみましたが、金額は反映されていません。焦りながらトランザクションの再送とかできないのかな？と調べましたが、できなさそう。よく分からんけど、もう受取れないか...と膝を落としました。

失敗に終わってさらに既に送られてると出て終わったっぽい

— はっさん🍵個人開発 (@hassasa3) May 28, 2021

したら @_serinuntius さんが攻撃を受けてて (！？) 配布が止まっていることを教えてくれました。

たった今、攻撃されてて、盗まれちゃったようですね。

txを横取りする技がありまして、今回コントラクトが脆弱だったようです・・・

— serinuntius@no plan inc (@_serinuntius) May 28, 2021

https://t.co/vBMNO810wq

今配布が止まってます。

— serinuntius@no plan inc (@_serinuntius) May 28, 2021

横取りだと〜〜〜！？！？フロントランニングとは、対象のオーダーより先に攻撃者のオーダーを処理させる技らしいです。攻撃者は対象のオーダーより送信手数料を高く払うことで、先に攻撃者のトランザクションを処理することができるとのこと。(結構単純だな...)

仮想通貨の分散型取引所（DEX）に潜むリスク｜フロントランニングとは

その前の @_serinuntius さんのツイート

あれ、これやばくないか？？

ぶっこ抜かれてない？

嫌な予感しかしない pic.twitter.com/eYcNCd0vlY

— serinuntius@no plan inc (@_serinuntius) May 28, 2021

一番上の金額が大きいのもおかしそうだけど、その下のいくつかの To アドレスが全く同じものが続いてるのもおかしい気がする...

結論、攻撃を受けて自分が受け取るはずだった26万円分の DEV トークンは盗まれてしまったということですね。ありゃりゃ。

後々思うと送金に時間がかかっていたのはガス代をケチってたからですねw Metamask から送金する時は、遅くても良いから安くしようと思ったままでした。今回のような先着順の場合は、高速なガス代を払うようにします。反省です。

Dev Protocol 側の対応

Dev Procol のアカウントがツイートに気づき、リプしてくれました。

こちらの件、今回のAirdropはGitHubユーザー(ウォレット未保有者を含む)を対象としているため、iroiroのURLベースでの配布機能を選定していました。iroiroチームとも協議の上、上記方法での配布を一時停止しております。

— Dev Protocol JP (@devprtcl_jp) May 28, 2021

現在、上記とは異なる方法での対策を進めています。また、これによりAirdrop対象者の方のリワードが失われることはありません。より多くのOSS開発者の方にご参加頂けるよう、チーム一同、再開を急いでおります。ご不便をおかけしますがよろしくお願いいたします。

— Dev Protocol JP (@devprtcl_jp) May 28, 2021

一時的にメンテナンスもしていたようです。

DEV Airdropですが、現在アクセス集中が続いており一時的に停止しております。
ご迷惑をおかけいたしますが再開までお待ちください🙇‍♂️ 🙇‍♂️

自身のGitHubアカウントがリワード対象かどうかは確認いただけます。リワード対象のコミット数ランクはAirdropサイトに記載がありますのであわせてご覧ください。

— Dev Protocol JP (@devprtcl_jp) May 28, 2021

同日、エントリーが再開できるように。(お疲れさまです)

大変お待たせしました🙇‍♂️ 🙇‍♀️

メンテナンスが終了しました
非常に多くの反響を頂きありがとうございます😭

エントリー方法はサイトをご覧ください。エントリー開始までしばらくお待ちください

まずは対象者かをチェックしてみよう👨‍💻 👩‍💻 https://t.co/vEKkCE9tez#DevProtocol

— Dev Protocol JP (@devprtcl_jp) May 28, 2021

配布の条件と受け取り時期が変わったようです。「Iroiro の URL ベースの配布」→「エントリーフォームからの応募」、「即時受け取り」 → 「2週間の応募期間が終了すると、特典を請求することができる」

もちろん、自分は素直に先着順の応募に参加しようと思いますが、如何せん26万円分のトークン配布が目の前で消えたので一応リプで聞いてみました。

ご対応お疲れさまです。
> Airdrop の対象者のリワードが失われることはありませんhttps://t.co/36IwFEpS6N

とありますが、iroiro の URL ベースでの claim が終了していた人でも再度先着順のエントリーをする必要があるのでしょうか？ここまでやっていればエントリーされている解釈をしていました。

— はっさん🍵個人開発 (@hassasa3) May 28, 2021

その後の対応

iroiro でフロントランニングされた件、Dev Protocol さんから返信がこないw https://t.co/A90Kt2p3vL pic.twitter.com/5VPxT8eiku

— はっさん🍵個人開発 (@hassasa3) August 24, 2021

まぁ別にいいけど、そっかぁ〜って感じです pic.twitter.com/N5MIKICClj

— はっさん🍵個人開発 (@hassasa3) August 25, 2021

草