defi flash loan attack
要点
・これは深刻な脆弱性をもたらし、DeFiプラットフォームを攻撃にさらしている事を意味します。
DeFiフラッシュローン攻撃はさらに悪化
Chainlink(チェーンリンク)の共同創設者であるセルゲイ・ナザロフ(Sergey Nazarov)氏が、DeFi (Decentralized Finance=分散型金融)でフラッシュローン攻撃がどのように機能するかを説明しました。
ここ数カ月、イーサリアム系DeFiプラットフォームのいくつかがフラッシュローン攻撃の標的となり、悪意のある攻撃者によって数千万ドルの仮想通貨が奪われ、多額の被害を受けています。
しかし、これまでの攻撃は不正侵入の最も単純手口で実行されておりナザロフ氏は、多くのDeFiプロジェクトの最大のボトルネックは、価格発見メカニズムだと語っています。
スマートコントラクトが外部データと対話できるようにするアプリ(価格オラクル=価格情報を繋ぐシステム)は、多くがソースとして1つまたは2つのDEX(分散型取引所)を使用しており、ナザロフ氏は次のように説明しています。
問題は、単一の価格データプロバイダーが存在し、単一の取引所が存在することです。現在のDeFiは開発の容易さとスピードのために、オンチェーン分散型取引所とオンチェーン取引所インフラストラクチャーを使用し、引き金となる価格を取得している場合があります。
しかし、それでも攻撃者は1つの取引所でも価格を操作するためにかなりの資本を持っている必要があり、これがDeFiフラッシュローンの出番となります。
これらのメカニズムによって、資産が少しでもある人は誰でも、短期間で十分な資本を得ることができます。
このように、攻撃者は、プラットフォームのオラクルによって提供されるデータを歪曲することで、プロジェクトのボールト内のトークン価格を操作でき、DEXでは、このデータのソースを取得します。
その後、攻撃者は大幅に安くなったトークンを超短時間で購入し、すぐにフラッシュローンを返済します。
最大の問題点は、これらの攻撃をより簡単で危険なものにしているのは、技術的な知識すらも必要としていない点で、ナザロフ氏は以下のように警告しています。
2つまたは5つのオンチェーン取引所からデータを調達しても、フラッシュローン攻撃からDeFiプラットフォームを保護することはできず、実行はより複雑で費用がかかるものの、完全に実行可能である。
フラッシュローン攻撃に対抗するには?
攻撃に対抗するためにDeFiプラットフォームは、収集する価格データの範囲を大幅に拡大する必要があると同氏は説明しています。
実際にそのグローバル価格を歪めることによってのみ、価格を操作することができ、DeFiプロトコルは少なくともこの場合の現実を反映します。
ナザロフ氏は、フラッシュローン攻撃はChainlinkが2018年の時点ですでに懸念していたことであり、われわれが予測した方法でほぼ正確に段階的に起こっていると述べています。
11月24付け記事「【速報】DeFiの悪夢再び!Pickle Finance、約2,000万ドルのDAI流出」でも報じた様に、DeFi市場では最近立て続けに被害に遭っています。
これらを例えは悪くとも教訓にして、よりセキュリティ性の高いDeFiを開発してくれる事を願うばかりです。