AIサマリー
もっと見る
わずか30秒で記事の内容を把握し、市場の反応を測ることができます。
分散型金融(DeFi)の開発以来、仮想通貨の見方や利用方法は大きく変化しました。特に、さまざまな種類の暗号資産レンディングを提供する独立した金融プラットフォームが開発され、借り手と貸し手の両方に多くの価値をもたらしています。
DeFiecosystemで人気が高まっているローンタイプの1つがフラッシュローンです。これにより、借り手はアービトラージの機会を迅速に享受できます。借りた資金を提供し、仮想通貨資産を購入し、売却し、ローンを返済し、利益を得ます。
残念ながら、このアイデアは優れており、うまく機能していますが、この形態のレンディングを利用する人もいます。フラッシュローン攻撃とその防止方法について、引き続きお読みください。
フラッシュローン攻撃とは、特定のプラットフォームのスマートコントラクトセキュリティを悪用することであり、攻撃者は通常、担保を必要としない多額の資金を借ります。その後、ある取引所で暗号資産の価格を操作し、別の取引所ですぐに再販します。
このプロセスは迅速で、攻撃者はプロセスを何度か繰り返してから終了し、トレースなしで退出します。
DeFiレンディングスペースの発展により、仮想通貨レンディングは非常に人気があります。現在利用可能なテクノロジーの力を最大限に活用しているため、フラッシュローンは非常に魅力的なレンディング形態となっています。
フラッシュローンという用語は、担保なしで借り手がローンを借りるタイミングを表します。次の点に疑問を抱くかもしれません。どのように可能でしょうか? プラットフォームのスマートコントラクトを使用すると、貸出と返却のプロセス全体がブロックチェーン上の1つの取引内で行われます。
つまり、借り手は迅速に行動し、短期間でローンを返済する必要があります。貸し手が何らかの形でデフォルトした場合、取引全体がまるで何も起こらなかったかのように無効になります。
原理はシンプルで非常に実用的です。従来の担保付きローンとは異なり、担保、信用スコア、管理管理は不要です。数秒で大量のステーブルコインを手に入れ、すぐに利益を得ることができます。
これは、さまざまなDeFiプラットフォームのトレーダーが行っていることです。たとえば、Aaveuserはそのようなローンを受け取り、アービトラージの機会に資金を使用し、ローンを返済し、利益を維持できます。
借入とレンディングのプロセスは自動化されており、すべてがうまくいけば、レンダーと借り手の両方がローンから利益を得られます。問題が発生した場合、取引はキャンセルされ、いずれの当事者にも利益はありません。
テクノロジーの進化を考えると、DeFiフラッシュローン攻撃は現在一般的です。現在、70以上のDeFiエクスプロイトが大量に盗み、約15億ドル相当の資金を狙っています。プラットフォームのセキュリティを浸透させるのは難しい作業であるため、この傾向は今後数年間続くでしょう。
最初の課題は、ブロックチェーン技術がかなり新しいため、開発者が潜在的な弱点をすべてカバーできないことです。もう1つの問題は、システムが迅速に開発され、それぞれのプロジェクトに多額の資金が費やされていることです。ステーキングは高く、多くの開発者はシステムのバグを見つけるためにさまざまな方法を試しています。フラッシュローンの攻撃者の中には、流動性プールの誤った計算を利用する人もいます。さらに、マイナー攻撃やコーディングミスもあります。
残念ながら、すべてを可能にするのは弱点でもあります。
スマートコントラクトの課題は、DeFiプロトコルを完全にコントロールできることです。攻撃者は、これらの仕組みを細かく理解すれば、契約の欠点を操作し、有利に利用することができます。
つまり、DeFiのセキュリティはデリケートなバランスです。一方はプロトコルの契約作成者のスキル、もう一方はハッカーのスキルです。
もう1つの脆弱性は、プラットフォームの価格データにあります。世界中に多くの取引所があるため、仮想通貨デジタル資産に1つの真の価格を見つけることは事実上不可能です。この価格の違いが、アービトラージ取引を魅力的にしています。以下の市場は、正当な価格変動により利益を得るための優れた方法です。しかし、フラッシュローン攻撃は価格を操作し、急激な変動を悪用します。
攻撃者がフラッシュローンを受け取ると、人為的な売り切りが発生し、仮想通貨資産の価格が急落します。
幸いなことに、担保外ローンの悪用を防ぐためのシステムがすでに導入されています。フラッシュローン攻撃の例をいくつかご紹介します。
これまでのところ、フラッシュローン攻撃は数十回発生しています。こちらは、最も大きなものの一部です。
C.R.E.A.M.ファイナンスは2021年に複数回攻撃を受けています。最大の強気筋の1つが1億3,000万ドルを投資しました。犯人はCREAM流動性トークンを盗み、未公開の時間で数百万ドル相当の金額を盗みました。すべての損失はチェーン上に表示され、犯人は未だ捕まえられていません。
幸いなことに、この抜け穴はCreamのDeFiシステムの一部に過ぎず、その合併パートナーであるYearn Financeのプラットフォームは引き続き安全でした。DeFiプロトコルハッキングの大半と同様に、攻撃者は複数のフラッシュローンを使用し、理論の価格を操作しました。
Yearn氏の協力を得て、このプラットフォームは脆弱性を迅速にパッチ適用しました。
2021年2月、アルファホモラ議定書がハッキングされ、3,700万ドルの損失を被りました。また、フラッシュローンの攻撃者は、一連のフラッシュローンを通じてC.R.E.A.M.ファイナンスのアイアンバンクも利用しました。アイアンバンクはアルファ・ホモラ議定書の貸し手です。
ハッカーはCreamY USD(またはcyUSD)を蓄積するまでこのプロセスを複数回繰り返し、トークンを使用して他の仮想通貨を借りました。ハッキングは非常に複雑で、多くのステップを伴いました。基本的に、攻撃者はHomoraBank v2のsUSDプールを厳しく操作しました。
彼らは一連の取引とフラッシュローンを行い、HomoraBank v2とIron Bank間のレンディングプロトコルを悪用しました。モルテミン後のアルファ・ホモラ攻撃について詳しく調べて、ハッカーが何をしたかを確認できます。
また、借り手が1人の場合、借り手の計算の四捨五入の誤算も悪用しました。
プロトコルをゲームするには、適切なタイミングと価格操作が必要になる場合があります。2020年初頭にdYdXのエクスプロイトが発生しました。攻撃者はプラットフォームを使用してフラッシュローンを取得し、資金を分割して、フルクラムとコンパウンドの2つの取引プラットフォームで使用しました。
最初の部分は、ETHからWBTCへの交換にフルクラムで使用されました。その過程で、Kyber NetworkはUniswapのDEXを通じて注文を受け取りました。その背景には、Uniswapの低流動性プールがWBTCの価格を信じられないほど高騰させたことがありました。
同時に、攻撃者は「」プラットフォームのローンの2番目の部分を使用して、WBTCフラッシュローンを取得しました。Uniswapの価格が急騰する中、攻撃者はすぐに取引所を作り、多額の違法利益を得ました。
2021年5月、あるハッカーがPancakeBunnyプラットフォームをテストし、300万ドル近くを盗みました。このハッカーは、PancakeSwapを初めて活用し、大きなBNBローンを獲得しました。攻撃中、ハッカーはBUNNY/BNBとUSDT/BNBの取引ペアを操作しました。
その後、大規模なフラッシュローンにより、ハッカーは膨大な量のBUNNYトークンを配布し、すぐにBNBを返済して利益を失いました。今回の買収により、PancakeBunnyの価格が146ドルから6.17ドルに急落しました。
セキュリティの専門家は、ますます多くの攻撃が起こり続ける中、さまざまなフラッシュローンの悪用について詳しく学んでいます。上記の例のすべての脆弱性にパッチが適用され、その発生により2つの一般的な解決策が生まれました。
ほとんどのフラッシュローン攻撃は価格操作に依存するため、分散型価格設定オラクルでこのアプローチに対抗する必要があります。その好例がチェーンリンク&バンドプロトコルです。これらのプラットフォームは、さまざまな仮想通貨の正確な価格を提示することで、すべてのプロトコルを安全に保護します。
たとえば、プロトコルが単一のDEXから価格フィードを受け取れないため、dYdXで発生したようなDeFi攻撃は不可能です。
アルファ・ホモラは現在、歴史が繰り返されるのを防ぐために、アルファ・オラクル・アグリゲーターを使用しています。DeFiの市場規模が拡大し続けているため、このようなシステムが増えるでしょう。
DeFiエコシステムは、国際金融システムの見通しを再構築する最先端のテクノロジーを採用しています。このような注意は、システム全体に大きな負担をかけます。
幸いなことに、現在のセキュリティ上の課題に取り組む特定のプラットフォームがすでに存在しています。OpenZeppelinが最適な例です。エコシステム全体におけるその役割は、スマートコントラクトとDeFiプラットフォーム全体を保護することです。
スマートコントラクト監査機能以外にも、Defender Sentinelsなどのソリューションは、フラッシュローン攻撃から継続的に保護します。開発者は、このツールを使用して防御戦略を自動化し、システム全体の一時停止や修正の展開を迅速に行うことができます。
このような迅速な対応は、フラッシュローン攻撃が被る可能性のある損害を軽減するために不可欠です。
Yearn.finance、Foundation Labs、dYdX、Opyn、The Graph、PoolTogetherなどの大手企業が、すでにプラットフォームを使用してシステム攻撃を無力化しています。
すべてが意図したとおりに稼働している場合、フラッシュローンは完全にリスクフリーです。借り手と貸し手は、スマートコントラクト条件をすべて満たしていれば、取引の恩恵を受けることができます。
貸し手の視点から見ると、貸し手は決してお金を渡しません。借り手が必要なステップをすべて踏むと、すべて人工的なものであり、ブロックチェーン情報の一部となります。借り手がデフォルトした場合、同じ取引が拒否されます。
貸し手はまだ資金を持っており、借り手は誰にもお金を借りていません。
一方、借り手は利益しか得られません。借りた資金を使用して、仮想通貨市場のアービトラージから利益を得ることができます。取引が成立した場合、その資金は貸し手に還元されます。
理想的には、システムの設計により、リスクフリーで即時の借入とレンディングが保証されます。ただし、すべてのリスクフリーを確保するために、スマートコントラクトはすべての取引詳細をカバーする必要があります。そうすれば、攻撃者が悪用するリスクはありません。
したがって、フラッシュローンに関しては、現在DeFiエコシステムを悩ませている最大のリスクは、データ漏洩と、これらの攻撃を可能にするスマートコントラクトバグです。
今は完璧に見えていないものの、時間が経つにつれて、これらのシステムは最終的に安全になります。ChainlinkやOpenZeppelinなどのプラットフォームでは、フラッシュローン攻撃が歴史の一部になる可能性があります。
フラッシュローンは、DeFiエコシステムのもう1つの優れた追加要素です。現在攻撃を受けやすいですが、将来的には潮流が変わるでしょう。
開発者がよりスマートコントラクトを書くにつれ、セキュリティツールや分散型オラクルを導入するシステムが増え、ハッカーによる攻撃件数は減少するでしょう。
フラッシュローンが良い投資かどうかを考えているのであれば、答えはYesです。フラッシュローン攻撃のリスクは少なくとも低いため、DeFiプラットフォームで貸し出す際には仮想通貨を慎重に使用してください。
DeFiレンディングについてもっと知りたい方は、詳細については、ブログのガイドをご覧ください。