
DeFiプロジェクトにまたしても問題発生、BZRX IDOイベントの分析と対策提案
TechFlow厳選深潮セレクト

DeFiプロジェクトにまたしても問題発生、BZRX IDOイベントの分析と対策提案
今回の出来事は、DeFiプロジェクトがハッキングされたわけでも、DeFi契約に脆弱性があったわけでもない。
著者|Certik
あなたが、ジョーダンの限定スニーカー「AJ」が今夜6時に発売されることを知り、朝からお店の前に小椅子を持って並んでいい位置を確保し、いざ購入しようとした瞬間、目の前の数人が熱狂的なファンではなく、転売屋(ティッケットブローカー)であることに気づいたとします。
転売屋は店に残っていた全在庫の新型AJを押さえてしまい、あなたは急きょオンライン購入に切り替えます。しかし、予想通り、高スペックのPCを用意しておらず、購入専用のアプリも導入しておらず、ネット回線も高速化のためにお金をかけていないため、オンラインでの初回販売分のAJはあっという間に売り切れてしまいます。
元々定価で数千人民元のスニーカーが、突然ネット上で1万人民元以上にまで跳ね上がり、販売価格を決めていたのはもはや公式ショップではなく、これらの転売屋たちです。
このような出来事は、買い物好きの方ならよく目にしているかもしれません。しかし、ブロックチェーンの世界でも同様のことが繰り返し起きています。
北京時間7月13日午後10時28分、BZRXがUniswapに上場した際、あるユーザーがスマートコントラクトを利用して、即座に650ETHで196万6100個以上のBZRXを購入し、流動性プール内のBZRXの39.3%を交換しました。2分後、大量購入により価格が上昇し、このユーザーは一連の売却操作を開始し、最終的に2030ETHおよび30万個のBZRXトークンを利益として得ました。
ただし、この行為は攻撃者が非常に大きなコストリスク(ガス切れ)を負担して行ったものです。実際に攻撃を行う中で、自分が送信した取引のうち、どれがマイナーによって採掘され、ブロックに記録されるのか明確にはわかりません。

Roman storm氏のツイッター画面キャプチャ
セキュリティエンジニアのRoman storm氏のツイートによると、実際にはすべてのBZRX売却取引の中で14件が失敗しており、それぞれの失敗取引ごとに高額なガス代を支払っています。もちろん成功した取引も15件あり、成功率は約半分程度ですが、攻撃実行にはかなりのリスクが伴います。
もし攻撃者が限定版AJスニーカーを購入しようとしている場合、一足買うたびに手数料を支払い、その都度手数料が差し引かれます。しかし、毎回の購入が成功するわけではなく、一度失敗すれば手数料も無駄になってしまいます。
攻撃のアプローチという観点では、これはむしろ経済学的な問題に近いと言えます:
プログラムによる監視でBZRX上場情報を取得
一括で大量の安価なBZRXを購入
BZRX価格を急激に引き上げる
複数回にわたりBZRXを売却
攻撃者は驚異的なスピードでこの一連の操作を行い、利益を得ました。
今年6月末にも似たような事件がありました。Balancer上の2つの流動性プールがフラッシュローン攻撃を受け、50万ドルの損失が出ました。CertiK天網システム(Skynet)はBalancerのDeFiコントラクトに異常を検知し、分析を行いました。詳しくは『空手套以太:Balancer攻撃解析』および『DeFiに未来はあるのか?Balancer再び攻撃される』をご参照ください。
BZRXトークンがUniswapで取引対象となった直後、攻撃者はすぐに大量にBZRXを購入しました。Uniswapの市場メカニズムにより、ある種のトークンが大量に購入されると単価が上昇します。その後、攻撃者は多数の取引を通じて高値になったBZRXを売却しETHを獲得しました(BZRXを売却するたびに価格は下落)。最終的に巨額の利益を得ました。その攻撃コストと利益は以下の通りです:
Roman storm氏のツイッター画面キャプチャ
これら二つの事件の共通点は、いずれもDeFi金融モデルのメカニズム上の「欠陥」を悪用し、安く買って高く売るという裁定取引的手法で利益を得ている点です。
今回の事件とBalancer攻撃の違いは、Balancerのケースでは攻撃者が悪意を持ってトークン量を操作・圧縮することで価格を制御していたのに対し、今回の攻撃では、BZRXがUniswapに新規上場し価格が低いタイミングを捉えて、通常の取引プロセスを通じて利益を得たことです。そのため、Roman storm氏は後のツイートで、BZRX IDO事件はプロトコルの悪用でもハッキング行為でもないと述べています。
しかし、従来型のスマートコントラクトとは異なり、DeFiスマートコントラクトには金融モデル上の脆弱性が存在します。
コードにバグがなく、コントラクトの展開に問題がなくても、金融モデル自体に問題が生じる可能性があります。
どこか抜け道がないか、防ぎようがないように感じられますか?
CertiKは、以下のような基本的な対策を提示し、DeFiプロジェクトが同様の問題を回避できるよう提案します:
新規トークンの発行時には、取引所の上場プロセスを参考にする。取引所はトークン発売前に、ある指標に基づいてユーザーに購入限度額を設定し、発売後にその限度額以内でのみ購入可能にする。これにより、あるユーザーが新規発行トークンの40%近くを買い占め、「価格高騰」を引き起こす事態を防げる。
リングトレーディング(環状取引)方式を採用し、取引活動の間隔時間を設定し、段階的に販売を行う。
dFusionのような一括オークション、またはダッチオクション(オランダ式オークション)など類似の取引方式を採用する。
今回の事件は、DeFiプロジェクトがハッキングされたわけでもなければ、スマートコントラクトにバグがあったわけでもありません。しかし、攻撃者に大きなスキを突かれてしまったことで、DeFiの技術面だけでなく、金融モデル自体の未熟さが浮き彫りになりました。前述の通り、CertiKチームの専門家が指摘したように、これはむしろ経済学的な問題といえるでしょう。
したがってCertiKは、広く一般のユーザーに対して、DeFiプロジェクトのリスク評価を強化し、常にセキュリティ上の脆弱性を監視することを推奨します。必要に応じて、第三者のセキュリティ企業に協力を仰ぎ、攻撃テストや包括的なセキュリティ防御体制の構築を支援してもらうことで、他の原因による問題も未然に検出・防止できます。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














