SC07:2025 - フラッシュローン攻撃 (Flash Loan Attacks)
説明:
フラッシュローン攻撃は単一のトランザクション内で担保なしに多額の資金を借り入れる能力を悪用します。これらの攻撃はブロックチェーントランザクションのアトミックな性質を利用するもので、すべての操作は同時に成功するか失敗しなければなりません。フラッシュローンをオラクル操作、再入可能性、欠陥のあるロジックなどの他の脆弱性と組み合わせることで、攻撃者はコントラクトの動作を操作し、資金を流出できます。
フラッシュローン悪用の事例:
オラクル操作: 借入金を使用して価格オラクルを歪め、担保不足の清算を誘発する。
流動性プールの枯渇: フラッシュローンを活用して、流動性を排除したり、設計が不十分な AMM メカニズムを悪用します。
裁定取引の悪用: 流動性を操作することで、プラットフォーム間の価格差を悪用します。
影響:
資金の損失: 悪用者はプロトコルの準備金を流出したり、担保付きローンを操作して資金を盗むことができます。
市場の混乱: 一時的な価格操作や流動性の枯渇により、ユーザーやプラットフォームに影響を及ぼします。
エコシステムの損害: プロトコルに対する信頼を損ない、ユーザー採用が減少し、経済的影響が生じます。
対策:
重要なロジックでフラッシュローンへの依存を避ける: 機密性の高い機能が、検証済みで予測可能な条件内でのみ動作するように制限します。
堅牢なオラクル設計: 操作に耐性のある時間加重平均価格 (TWAP) または分散オラクルを使用します。
包括的なテスト: フラッシュローンのシナリオとエッジケースをシミュレートするテストを含めます。
アクセス制御: 重要な機能へのアクセスを制限して、不正なトランザクションや悪意のあるトランザクションを防ぎます。
フラッシュローン悪用の事例:
UwUlend ハック: 包括的な ハック分析
Doughfina ハック: 包括的な ハック分析
Last updated