https://rugdoc.io/education/defi-exploit/

DeFi Exploitとは?初心者のためのリスク管理ガイド

23 JUNE 2021EDUCATION

DeFi エクスプロイト(Exploit)とは何ですか?
エクスプロイトとは、スマートコントラクトの抜け穴や論理的エラーを利用して、DeFiプロトコルを操作しようとする(通常は犯罪的な)試みであり、その結果、ユーザーの資産が盗まれてしまう。

ブロックチェーン技術の投機的な性質を考えると、スマートコントラクトの監査を受けたプロジェクトであっても、エクスプロイトはDeFi分野への投資において大きなリスク要因となります。

この記事では、DeFiを悪用する主なタイプ、悪用されたDeFiプロトコルの注目すべき例、そして完全にやられてしまわないように自分を守るためにできることについて説明します。

最も一般的なDeFiエクスプロイトの種類

フラッシュローン


DeFiのエクスプロイトの大半は、フラッシュローンと呼ばれるものを利用しています。

フラッシュローンは、同じブロックチェーン取引内で返済される限り、個人が担保なしで大量の資産を借りることができます。

フラッシュは目に見えないほどの速さで街中を疾走します。
フラッシュがその超スピードを良いことに使っているように、ほとんどの個人は完全に正当な理由でフラッシュ・ローンを利用しています(例:担保の交換、自己流動化、正当な裁定機会)。

しかし、フラッシュがスーパーヴィランである異世界ではどうなるのでしょうか?

フラッシュローンを使った価格オラクル操作

ほとんどのDeFiプロトコルは、スマートコントラクトの中に集中価格オラクルと呼ばれるコードを搭載しています。これは、Uniswapのような単一の分散型取引所(DEX)上の資産ペアから外部の価格データを取得するサードパーティサービスです。

これらのプロトコルは単一のDEXに価格データを依存しているため、エクスプローラーは当該DEX上でフラッシュローンを利用して大量のトークンを交換することで、市場を操作することができます(つまり、あるトークンの価格をペアのトークンと比較して上昇または下降させることができます)。

これにより、通常よりもはるかに多くの資産をプロトコルから引き出すことができる裁定取引の機会が生まれます。

ラグプル

ラグプルとは、プロトコルの開発者が投資家に「ラグを引いて」資金を持ち逃げすることであり、詐欺というよりは悪用に近い。

男は予想外の傍観者からラグを引いてしまう。
これは通常、開発者が最初にプロトコルトークンをDEXに上場することで実現します。開発者は自分たちのトークンペアに十分な流動性プールの投資を集めた後、プールから資金を抜き取り、トークンの価格をゼロにして資金を盗みます。

イールドファーミングの世界には、ユーザーの資金をすべて盗むことはないが、インフレ防止のためのトークン対策を行わない「ソフトラグ」から、BUSDをすべて盗むことを目的とした「ハードラグ」まで、非常に多くのラグが存在します。ハードラグとエクスプロイトに関するガイドはこちらをご覧ください。エクスプロイトとラグコード


注目すべきDeFiのエクスプロイト

Value DeFi

Value DeFiは、自動マーケットメーカー(vSwap)やイールドアグリゲーター(vSafe)など、一連のDeFiサービスを提供するプロトコルです。

また、3回も悪用された唯一のプロトコルの1つであることから、悪用する側にとっては大金が手に入ることになります。

2020年11月14日に発生した最初の攻撃では、エクスプローラーがフラッシュローンを利用して700万ドルを手にした後、200万ドルと開発者への恩着せがましいハッカーからのメッセージ(「フラッシュローンって知ってる?)

その後、2021年5月5日に何者かがコードの欠落を悪用し、プールを再初期化して自分をオーナーに設定しました。その後、彼らはvBWAP/BUSDのステークトークンを排出して燃やし、両コインを1,000万ドル相当のBTCに変換しました。

そのわずか3日後、Value DeFiは再び悪用されました。2回目の攻撃と同様に、悪用者はコードの誤りを利用しました。今回はBancor式と呼ばれるものが誤って使用されていました。これにより、流動性が50対50に分割されていないすべてのプールの資金を奪うことができ、最終的に1,100万ドルの資金が盗まれました。


3人目のハッカーが資金を盗んだトランザクションのスクリーンショット
第三の搾取者が資金を盗んだ取引のスクリーンショット
野球でいうところの「スリーストライク」。3つのストライクでアウトになってしまう。この恥ずかしい打席で、Value DeFiがユーザーの信頼を得られるかどうかは、これからだ。

ミーアキャットファイナンスのラグプル

Meerkat Financeは、Alpaca.Financeをフォークしたものです。Alpaca.Financeは、イールドアグリゲータープロトコルであるYearn.Financeをフォークしたものであり、Binanceスマートチェーン上で動作していました。

2021年3月4日のローンチからわずか1日で、1300万BUSD、7万3000BNB、合計で約3100万ドルのユーザー資金が搾取されました。

チームは当初、悪用されたと考えていましたが、その後、Meerkat Finance Deployerが攻撃前に2つの金庫をアップグレードしていたことが判明し、開発者にバックドアアクセスを与え、内部犯行であることがわかりました。

興味深いことに、その1日後、開発チームのメンバーである「Jamboo」がTelegramに登場し、すべての投資家に返金すると発表し、実際に返金されました。

では、何が目的だったのでしょうか?どうやら、DeFi空間における「ユーザーの欲と主観」を試すための(非常に高価な)「社会実験」のようです。

その結果は予想通りであり、教訓は明確でした。目にした魅力的なDeFiプロジェクトをすべて鵜呑みにしてはいけない、特にMeerkat Financeのように監査を受けていないプロジェクトは要注意です。

EasyFi

EasyFiは、Polygonをベースに構築された融資プロトコルで、これまでにDeFiで発生した最大の不正アクセスの被害に遭っています。

2021年4月19日、攻撃者はプロトコルを代表して公式な取引に使われるコンピュータを侵害することに成功しました。そして、悪意のあるバージョンのMetaMask(人気のあるDeFiウォレット)を注入し、管理者キーを盗み、流動性プールを流出させ、最終的に約600万ドルの安定コインと5300万ドルのEASYトークンを持ち逃げしました。

ハーベスト・ファイナンス

収穫量集計プロトコルのHarvest Finance社は、2020年10月26日に同社のFARM_USDTおよびFARM_USDCプールを標的とした教科書的なフラッシュローン価格のオラクル攻撃を受けました。

彼らが行った手順は以下の通りです(クレジットは@valentinmihovとrekt)。

  • 5,000万ドルのUSDTフラッシュローンを利用する
  • Curve Finance Yプールで1140万ドルのUSDCをUSDTにスワップ(USDTの価格が上昇)。
  • 6,060万ドルのUSDTを金庫に預ける
  • 1,140万ドルのUSDTをUSDCに交換(USDTの価格が下がる)。
  • 金庫から6110万USDTを出金(50万ドルの利益
  • すすぎを32回繰り返す
  • BTCに変換(renBTC経由)して出金、ETHに変換して匿名取引が可能なプロトコルTornado.finance経由で出金
  • ハッカーが2400万ドル相当のUSDCとUSDTを入金したウォレットのスクリーンショット
  • エクスプローラーが2400万ドル相当のUSDCとUSDTを入金したウォレットのスクリーンショット

パンケーキバニー

Pancake Bunnyは、2021年5月19日にフラッシュローン攻撃を受け、4500万ドルの被害を受けた、もう一つの利回り集約型プロトコルです。

8つの異なるフラッシュローンを利用することで、PancakeSwapプールの価格を操作し、不当に697万BUNNYトークンを鋳造することができました。これらはすぐに利益を得るために販売され、トークンの価格は146ドルから6ドルに暴落しました。

その他のDeFi Exploits


DeFiエクスプロイトの被害に遭った場合の対処法や包括的なリストについては、以下のリソースをご覧ください。



DeFiエクスプロイトから身を守るために

では、DeFiエクスプロイトの被害に遭わないためにはどうすればよいのでしょうか。

簡単なことですが、しっかりとした調査を行い、リターンが大きいからといってそのプロジェクトに飛びつくのではなく、自分の目で確かめてください。

確かに、リターンが良すぎるように見えても、実際にはそうである可能性があります。しかし、超高額のAPYが人々の目を曇らせ、プロジェクトの背後にある貧弱なファンダメンタルズに気づかせない例となった。

プロジェクトが監査されているかどうかを確認してください。いいえ、これは安全を保証するものではありませんが、通常はスマートコントラクトに意図的に書き込まれたバックドアや抜け穴を介してラグを引かれることを防ぐことができます。

最も重要なことは、投資の基本的なルールである「失う可能性のないものは投資しない」ことを念頭に置くことです。ブロックチェーンや暗号は、あらゆる種類のリスクや未知のものを抱えた、まだ始まったばかりの空間です。そのため、あるプロジェクトがどれほどしっかりしていても、DeFiの悪用の可能性は常に存在します。