DeFi で頻繁に発生する「フラッシュローン攻撃」の背後にある問題は何でしょうか?

最近、DeFi市場は厳しい試練に直面しており、複数の攻撃が相次いで発生し、巨額の資産損失が発生しています。ほとんどのセキュリティ インシデントでは、フラッシュ ローン攻撃の「命名」が標準になっているようです。しかし、その背後にある無視できない真実は、オラクルが実際には内部と外部の価格差を作り出し、そこから裁定取引を行うために操作されているということです。

いわゆるフラッシュローンは、実際には無担保ローンを可能にする革新的な金融ツールですが、同じブロック内での返済が必要であり、そうでない場合は取引がロールバックされます。フラッシュローンの魅力は、借り手が何の努力も費用もかけずに、数秒で「金持ち」になれることです。もちろん、資金の額が莫大であることは、市場操作の可能性が高いことも示しています。

このようなセキュリティ インシデントでは、攻撃者は通常、「何もせずに何かを得る」ことになります。彼らはまずフラッシュローンを利用して多額の資金を調達します。攻撃を開始するための「力」を得た後、彼らは一連の手段を使って、さまざまな住宅ローン、融資、取引、その他の契約を締結したり解除したりします。資産価格データを操作して歪曲した後、裁定取引を実行し、最終的に「元本」を返却します。

データによると、2020年以降、再突入脆弱性に基づくハッカーによる攻撃の数は減少している一方で、価格操作脆弱性に基づく攻撃の割合が増加しており、累積損失は数千万ドルを超えています。

それで、この神託とは一体何なのでしょうか?

ブロックチェーン外部通信の「橋渡し」

Oracle は何か神秘的なものではありません。これは実際には、ブロックチェーン ネットワークとインターネットおよび他のブロックチェーン ネットワーク間のデータと情報の通信を維持する「ブリッジ」です。特に、DeFi スマート コントラクトなどの分散型アプリケーション (Dapps) では、開発者はオラクルを通じて市場価格を含むさまざまな外部データ リソースを呼び出すことができ、Dapps が外部の現実世界のデータ環境に接続できるようになります。

改ざん不可能で信頼性の高いデータを提供できるオラクルが、DeFi の発展の重要な基礎となることは間違いありません。 DeFi アプリケーションでは、自己構成されているか、サードパーティの供給に依存しているかに関係なく、さまざまな市場の価格や為替レートなどの重要な情報をオラクルを通じて取得できます。分散型取引所（Dex）では、正確で信頼性の高い価格データを取得することがさらに重要です。

中央集権型取引所とは異なり、Dex 市場データは「分離」される傾向がより顕著です。外部の市場状況とのリアルタイムの連動が維持されない場合、Dex の自動マーケットメーカー (AMM) 資産プールは、取引量や流動性などの急激な変化により価格差損失を被る可能性があります。

DeFi 市場が熱を帯びるにつれ、業界ではプロジェクトの数、規模、モデルについて考える傾向が強まっています。しかし、Oracle のセキュリティ問題に対する注目度は低いレベルです。最近、オラクルのセキュリティインシデントが頻繁に発生し、警鐘を鳴らしているのかもしれません。 Oracle セキュリティは、DeFi エコシステムの秩序ある発展に不可欠です。

典型的なOracleセキュリティインシデント

イベント1

最初のオラクルセキュリティインシデントは2019年6月25日に発生しました。DeFiデリバティブプラットフォームSynthetixのオラクルに異常が発生し、プラットフォームのsKRW/sETH交換レートが不正確になりました。 3,700 万 sETH 以上が低価格で取引され、その金額は 10 億米ドル近くに上りました。

事件の原因

価格フィード情報が異常で、オラクルが失敗してチェーンに間違った価格を公開し、取引ロボットがそれを発見してすぐに裁定取引を行います。

最終的に、Synthetix は取引ロボットの所有者と資金返還合意に達し、巨額の損失は回復されました。ただし、上流の価格ソースの異常がスマート コントラクトに壊滅的な打撃を与える可能性があり、有効性の検証が不足しているオラクルでは、データの正確性と安定性の点で大きなセキュリティ リスクが生じる可能性があることに注意する必要があります。

イベント2

その後の出来事の中で最も印象的だったのが「bZx連続攻撃事件」だ。 2020年2月、DeFiローンプロトコルbZxは1週間以内に2回の攻撃を受け、約100万ドルの損失が発生しました。

事件の原因

ハッカーは、Uniswapアルゴリズムの価格欠陥を利用して関連資産の価格データを操作し、複数のDeFiプロトコル間を移動して裁定取引を実行しました。

7 か月後、bZx は再び攻撃を受け、今度は約 800 万ドルの損失が発生しました。 bZxの共同創設者カイル・キスナー氏は事件後、これはオラクル操作攻撃のようだと述べた。最終的に、この事件の原因はコードの脆弱性にあると判明した。

イベント3

最近、オラクル攻撃に関わる事件が多発しており、セキュリティ状況は深刻です。 10月26日、DeFiプロジェクト「Harvest Finance」がハッキングされ、約2,400万ドルの損失が発生した。

事件の原因

プロトコル fToken は、コインを鋳造するときに、価格フィード ソースとして Curve y プールを使用します。攻撃者は価格データを操作し、大規模な取引所を通じて発行されるコインの数を制御して、複数の裁定取引による利益を得ます。

当局は、ハッカーがCurve Yプールを通じて攻撃し、Curveのステーブルコインの価格が異常に387.9％を超え、7分以内に複数回の裁定取引を引き起こしたことを明らかにした。その結果、ハーベストトークンFARMの価格は短期間で65%も急落しました。

イベント4

11月14日には、一連のプロトコル間操作を通じてValue DeFiプロトコルがハッキングされ、最終的に700万ドル以上の損失が発生しました。

事件の原因

攻撃者は価格オラクルの脆弱性を悪用して Curve 資産プールの価格を操作し、余剰の 3CRV を盗んでそれを DAI と交換し、裁定取引を行いました。

残念なことに、ハッカーは最終的に 200 万 DAI を返却し、「フラッシュローンについて本当に理解しているのか?」という皮肉なメッセージを残しました。これは、フラッシュローン攻撃を防ぐことができると主張するチームの以前のツイートに対する反応でした。

最近では、オラクル攻撃による資産損失の総額は 3,000 万ドルを超えています。このような事件では、ハッカーがオラクルを操作して裁定取引に使用できる為替レートを作成し、その価格差を利用してプロトコル資産を盗みました。

したがって、DeFi エコシステムにおける最も体系的なリスク要因は、フラッシュローンなどの金融商品ではなく、価格操作の影響を受けやすいオラクルです。

解決策の探求

オラクルには幅広いアプリケーション シナリオがあり、オフチェーン データとやり取りする必要がある Dapp は、オラクルを使用してその機能と価値を実現できます。その中で、典型的な応用シナリオには、Dex、デリバティブ、ステーブルコイン、貸付プラットフォーム、ゲーム、保険、予測市場などが含まれます。この「データ要塞」に直面して、オラクルは反復的なアップグレード、セキュリティテストなどを通じて、より良いサービスを提供することが期待されています。

ブロックチェーン自体には、データが公正かつ合理的であるかどうかを検証する機能がないため、分散型の仕組みのもと、誤った外部データがオラクルによって無差別に返され、この「悪い状況を最大限に活用する」ことは、さまざまな損失を引き起こしやすくなります。

オラクルの反復的なアップグレードにより、オンチェーンとオフチェーンの信頼できるデータ間の接続が実現され、データ環境が正常で安定し、秩序あるものになることが保証されます。見積もりに関しては、オラクルは複数のノードからデータを集約し、価格の偏差に対する処理メカニズムを予約し、それらを時間どおりに同期して更新して、スマート コントラクトに提供されるデータが信頼性が高く、信頼でき、干渉に耐性があることを保証する必要があります。

Dex では、オラクルは AMM の重みを維持および調整しながら、見積もり更新を提供して内部為替レートが外部市場価格と一致するようにし、検証メカニズムと異常アラームメカニズムを通じて攻撃者による価格と為替レートの操作を効果的に阻止して裁定スペースの作成を防ぐ必要があります。

一方、DeFi開発者は、特にプロジェクトがオンラインになる前に、オラクルのターゲットテストを強化し、価格操作攻撃のさまざまなシナリオを可能な限りシミュレートし、問題を発見してタイムリーに解決策を見つけ、プロジェクトのオラクル攻撃に対する抵抗力を効果的に向上させる必要があります。

プロジェクトが開始された後、開発者は状況に応じてサードパーティのオラクル サービスやセキュリティ テスト サービスなどに接続することを選択する必要があります。関連する脆弱性報奨金活動を組織して、欠陥を迅速に確認して埋め、全体の構造を最適化し、同様のインシデントが再び発生する可能性を最小限に抑えます。

結論

物事の両面は常にあらゆる面に反映されます。フラッシュローンは、多額の資金を効率的に供給し、価値循環を促進する革新的な金融ツールです。しかし、攻撃者によって悪用され、資産を盗む強力な武器に変貌しました。

DeFi の開発であれ、ブロックチェーンの新領域の拡大であれ、オンチェーンとオフチェーンのデータ交換は不可欠であり、オラクルの役割を過小評価することはできません。実際のところ、攻撃者の操作方法は洗練されていません。ただ、現段階ではオラクルはあまり賢くなく、タイムリーに対応して抵抗することが困難です。

同様に、物事の発展の道は常に曲がりくねっています。多くの痛みを伴う代償を支払った後、神託の「欠点」が完全に露呈した。ブロックチェーンエコシステムのセキュリティのために、不正操作攻撃に完全に耐性のあるオラクルが誕生する前に、複数のテクノロジーの検証とテストを強化し、攻撃が発生する前に防止することが最優先事項となっています。