DeFiセキュリティリスクの分析：フラッシュローン、価格操作攻撃、リスク低減のためのプロトコル設計の考え方

2023.03.15

共有先

TechFlow厳選深潮セレクト

DeFiセキュリティリスクの分析：フラッシュローン、価格操作攻撃、リスク低減のためのプロトコル設計の考え方

DeFiプラットフォームは市場シェアの拡大に伴い、ますます増加するセキュリティ脅威にも直面している。

2023.03.15 - 03:20:47

安全PlatypusMoremoney

Web3業界の深掘り報道に専念し潮流を洞察

DeFiプラットフォームは市場シェアの拡大に伴い、ますます増加するセキュリティ脅威にも直面している。

執筆：Revelo Intel

編集：TechFlow

暗号資産分野において、DeFiは重要な発展方向の一つとなった。しかし、その市場シェアが拡大するにつれ、DeFiプラットフォームはますます多くのセキュリティ脅威に直面している。

最近、Moremoneyの共同創設者兼プロダクト責任者であるSirmoremoneyがTwitter SpacesでDeFiのセキュリティに関する話題、特に担保価格の操作やフラッシュローン攻撃などのリスクについて議論した。Revelo IntelはこのSpacesでの発言をまとめ、こうしたリスクを緩和するためにどのような対策を講じられるかを検討している。

コントラクトの脆弱性を悪用した攻撃／フラッシュローン攻撃

フラッシュローン攻撃とは、短期間無担保で資金を借り入れる能力を利用して価格を操作したり資金を盗んだりするものである。Platypusへの攻撃を例に、コントラクトの脆弱性を利用した攻撃について説明する。

攻撃者はAaveから4400万ドルのフラッシュローンを借り、それをPlatypusに預け入れ、4200万ドルを借入した。その後、コントラクトのバグを利用して緊急引き出しを行い、初期の預入額を引き出して借入金を手元に残した。この攻撃により、Platypus Financeは2億ドルの資金損失を被った。

しかし、彼らは4200万ドル相当のUSBのうち約850万ドル分しか交換できなかった。Platypusのセキュリティ顧問および内部チームは240万ドルを回収し、FeatherとCircleはコントラクト内で凍結された資金をブロックした。攻撃者は後にフランスで逮捕された。

今回の攻撃は低レベルのハッカーによって行われたものであり、現時点で盗まれた資金の70％がすでに回収されている。

この攻撃から得られる教訓は、誰が緊急引き出し機能を呼び出せるかを制限するなど、適切なセキュリティ対策が必要であること、および債務上限を導入して被害規模を制限することが重要だということである。

緊急引き出し機能

例えば、Moremoneyにはプロトコル自体またはガバナンスのみが呼び出せるレスキュー機能がある。

Platypusの場合のように、誰がこの機能を呼び出せるかを制限しないことの危険性を強調している。

担保価格の操作攻撃

価格操作攻撃とは、DEX上のトークン価格を操作し、担保の実際の価値よりも多くの資金を借り出すことを指す。

MangoやLoadstarへの攻撃を例に挙げることができる。これらの攻撃ではユーザーが大きな損失を被っており、担保価格の監視と価格操作防止策の導入の重要性を示している。

いずれの場合も、攻撃者はDEX上のトークン価格を操作して、担保の実際の価値以上に資金を借り出した。プロトコルの安全性にとって価格オラクルの選定は極めて重要であり、スポット価格オラクルを使用するのは常に悪い選択である。なぜなら、フラッシュクラッシュや他の価格変動が重大な損失を引き起こす可能性があるためだ。