https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi
こちらの抄訳です
現在、ブロックチェーン市場全体は黎明期にあり、その中でも分散型金融(DeFi)市場は最も有望な部分である。DefiLlamaのデータによると、2021年、DeFi市場には約2000億ドルの流動性がスマートコントラクトに固定されています。この資本を初期投資と捉えれば、この市場は非常に有望なベンチャー企業のように見える。これだけの資本金を誇れるグローバル企業はそう多くはないだろう。しかし、どんな若い市場にも歯がゆい問題はある。DeFiの場合、主な問題は、資格のあるブロックチェーン開発者の不足です。
この業界は非常に若く、ユーザーベースも比較的小さい。ほとんどの人は、せいぜいDeFiについて聞いたことがあるくらいで、それが何であるかはまったく知らない。しかし、新しい有望なベンチャー企業には必ず起こることですが、すぐに多くの投機的関心を呼び起こします。残念ながら、ブロックチェーンやスマートコントラクトの開発など、知識を必要とする分野では、人材の準備に時間がかかる。つまり、プロジェクトチームによっては、妥協して経験の浅い人材を採用せざるを得なくなるのです。
この問題は、必然的にこれらのプロジェクトのコードにセキュリティの抜け穴が生じる危険性を増大させる。そして、ユーザーキャピタルの損失というその結果に対処しなければならないのです。この問題がどれほど大きいかを簡単に理解するために、私はDeFiの総流動性の約10%がハッカーによって盗まれたと言うことができます。このように資金に危険をもたらす金融システムから離れたいと思う人が主流であることは、誰の驚きでもないだろう。
DeFiエクスプロイトは最近どのように変化したのか?
DeFiに対する攻撃は、長い間、リエントランシー攻撃が中心でした。2016年の有名なThe DAOのハッキングで、1億5000万ドルの投資家資金を失い、イーサリアムのハードフォークにつながったことが思い出されます。それ以来、この脆弱性はさまざまなスマートコントラクトで何度も悪用されてきました。
コールバック機能は、融資のプロトコルで積極的に活用されています。これにより、スマートコントラクトは融資を行う前にユーザーの担保残高をチェックすることができる。このプロセスはすべて1つのトランザクション内で行われるため、ハッカーはこのようなスマートコントラクトからお金を盗むための回避策を手に入れたのです。資金を借りるリクエストを送ると、コールバック関数がまず担保の残高をチェックし、担保が十分であれば融資を行い、その後スマートコントラクト内でユーザーの担保残高を変更します。
スマートコントラクトを騙すために、ハッカーはコールバック関数に呼び出しを戻し、このプロセスを最初から開始させます。この取引はブロックチェーン上で確定していないため、この関数は同じ担保バランスで別のローンを出します。この問題の解決策が登場してからずいぶん経つのに、いまだに多くのプロジェクトがこの問題の犠牲になっています。
スマートコントラクトを書くスキルに乏しいプロジェクトチームが、別のオープンソースDeFiプロジェクトのコードベースを借りて、自分たちのスマートコントラクトを展開することにすることがあります。彼らは通常、監査済みで大規模なユーザーベースを持ち、安全に構築されていることが証明されている評判の良いプロジェクトでそうします。しかし、元のコードを変更することなく、借用したコードに小さな修正を加えて、自分のスマートコントラクトに備えたい機能性を追加することに決めるかもしれません。これはスマートコントラクトのロジックを損傷する可能性があり、開発者はそれに気づかないことが多い。
2021年8月にハッカーがCream Financeから約1900万ドルを盗むことができたのは、このためです。Cream Financeチームは、別のDeFiプロトコルからコードを拝借し、スマートコントラクトにコールバックトークンを追加していました。資金の発行よりも残高の変更を優先する「チェック、エフェクト、インタラクション」パターンを実装することでリエントランシー攻撃を防ぐことができるにもかかわらず、一部のチームはこれらのエクスプロイトからプラットフォームを保護することができないでいます。
フラッシュローン攻撃は、ハッカーが異なる方法で資金を盗むことを可能にし、2020年のDeFiブーム以来、ますます人気が高まっています。フラッシュローン攻撃の主な考え方は、1つのトランザクション内で融資を受けて返すという事実によって、金融の平価は依然として保証されているので、プロトコルから資金を借りるために担保を持つ必要がないということです。そして、1つのトランザクション内で利子を付けてローンを返すことができなければ、それは行われません。しかし、攻撃者は多くのプロトコルでフラッシュローン攻撃を成功させています。
それらを行う際、彼らは複数のプロトコルを使用して、オラクルや流動性プールを介してトークンの価格を増幅し、それを使用してパンプアンドダンプを騙し、Ether(ETH)、Wrapped Bitcoin(wBTC)など、いくつかの主要な異なる暗号通貨の配列で流動性を持っていなくなる最後の行為に至るまでに流動性を借りてドラッグしています。有名なフラッシュローン攻撃には、プロトコルが2億ドルを失ったPancake Bunny攻撃や、1億ドル以上が盗まれた別のCream Finance攻撃などがあります。
DeFiエクスプロイトをどう防御するか?
安全なDeFiプロトコルを構築するためには、理想的には、経験豊富なブロックチェーン開発者のみを信頼することです。彼らは、分散型アプリケーションを構築するスキルを持つプロのチームリードを持っているはずです。また、開発には安全なコードライブラリを使用することを忘れないようにするのが賢明です。時には、最新のコードベースを持つライブラリよりも、最新のものではないライブラリの方が安全な選択肢となることもあります。
テストは、すべての真剣なDeFiプロジェクトが行わなければならないもう一つの重要なことです。スマートコントラクト監査会社のCEOとして、私は常にクライアントのコードを100%カバーするように努め、アクセスが制限されたスマートコントラクトの機能を呼び出すために使用する秘密鍵の分散型保護の重要性を強調しています。一つの事業者がコントラクトを完全にコントロールできないように、マルチシグネチャによる公開鍵の分散化を利用するのがベストです。
結局のところ、教育はブロックチェーンベースの金融システムをより安全で信頼性の高いものにするための鍵の1つです。そして、教育は、実行可能な貢献をすることができるすべての人に食欲をそそる報酬を提供することができるので、DeFiで就職を希望する人の重要な関心事の1つであるべきです。
ーーーーーーーーーーーーーーーーーーーーーーーーーー
BlockRabbit『クリプト訪ねて三千里』とは。
第924話からのターン。暗号資産、DeFi、NFTに感化された新進気鋭の若手が定期的に登場します!
ユーザー目線でコツコツ嚙み砕いていくコラムもあり、アメリカ発の最新情報など絶妙にサンドウィッチされて生きた情報をお届けいたします。
第596話~第923話まで、バトンタッチを受けたcryptoトレーダーは、DeFiとは何ぞや?ユーザー目線でコツコツ嚙み砕いていくコラムを書いていきました。
~第595話まで
現在の実態経済からは少し離れたところに、もう1つの経済圏がブロックチェーンによって興ると考えるShoが、その興隆を追っていくために毎日1社ずつ界隈のプロダクトを紹介していく超短編気まぐれ日刊コラムであり、メディア記事も幾つかピックアップしてお届けしておりました。
