フラッシュローン攻撃
フラッシュローン攻撃 とは何ですか?
フラッシュローン攻撃1 つのトランザクション内で巨額の無担保フラッシュローンを借り、価格やガバナンスを操作して返済前に資金を盗み出す DeFi 攻撃。
Aave や dYdX が広めたフラッシュローンは、同一の原子的トランザクション内で返済する限り任意の流動性を借りられる仕組みです。攻撃者は脆弱なプロトコルと組み合わせ、オンチェーン価格の歪み、AMM ベースのオラクル操作、報酬式の悪用、ガバナンス提案の乗っ取りなどに利用します。すべてが 1 トランザクションで完結するため、攻撃者のリスクはガス代だけで、複数プロトコルを同時に組み合わせることもできます。対策としては時間加重平均価格(TWAP)、Chainlink などの専用オラクル、スナップショット型ガバナンス、リエントランシー対策、不変量テストなどが使われます。2020 年以降、最も典型的な DeFi 攻撃の一つとなっています。
● 例
- 01
2020 年 2 月の bZx 事件ではオラクル操作により約 100 万ドルが奪われた。
- 02
2022 年 4 月の Beanstalk Farms 事件では 10 億ドル規模のフラッシュローンで悪意ある提案を通過させ、約 1.82 億ドルが流出した。
● よくある質問
フラッシュローン攻撃 とは何ですか?
1 つのトランザクション内で巨額の無担保フラッシュローンを借り、価格やガバナンスを操作して返済前に資金を盗み出す DeFi 攻撃。 サイバーセキュリティの Web3 とブロックチェーン カテゴリに属します。
フラッシュローン攻撃 とはどういう意味ですか?
1 つのトランザクション内で巨額の無担保フラッシュローンを借り、価格やガバナンスを操作して返済前に資金を盗み出す DeFi 攻撃。
フラッシュローン攻撃 はどのように機能しますか?
Aave や dYdX が広めたフラッシュローンは、同一の原子的トランザクション内で返済する限り任意の流動性を借りられる仕組みです。攻撃者は脆弱なプロトコルと組み合わせ、オンチェーン価格の歪み、AMM ベースのオラクル操作、報酬式の悪用、ガバナンス提案の乗っ取りなどに利用します。すべてが 1 トランザクションで完結するため、攻撃者のリスクはガス代だけで、複数プロトコルを同時に組み合わせることもできます。対策としては時間加重平均価格(TWAP)、Chainlink などの専用オラクル、スナップショット型ガバナンス、リエントランシー対策、不変量テストなどが使われます。2020 年以降、最も典型的な DeFi 攻撃の一つとなっています。
フラッシュローン攻撃 からどのように防御しますか?
フラッシュローン攻撃 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
フラッシュローン攻撃 の別名は何ですか?
一般的な別名: フラッシュローン悪用。
● 関連用語
- web3№ 1056
スマートコントラクトセキュリティ
オンチェーンプログラムを設計・レビュー・運用し、資金の盗難、ロジックの停止、想定外のルール違反に悪用されないようにする実践。
- web3№ 765
オラクル操作
スマートコントラクトが参照する価格やデータフィードを歪め、貸借・清算・決済で大きく誤った判断をさせる攻撃。
- web3№ 910
リエントランシー攻撃
外部呼び出しによって攻撃者が状態更新前に同じ関数へ再侵入し、再帰的に資金を抜き取るスマートコントラクトの脆弱性。
- web3№ 675
MEV(Maximal Extractable Value)
ブロックビルダー・バリデーター・Searcher が、自身のブロック内で取引を並べ替え、挿入、検閲することで得られる利益。
- web3№ 1055
スマートコントラクト監査
ローンチや更新の前に、スマートコントラクトのソースコード・デプロイ構成・経済設計を独立した第三者が点検するセキュリティレビュー。
- web3№ 106
ブロックチェーンセキュリティ
分散台帳、コンセンサスメカニズム、スマートコントラクト、および周辺インフラを侵害・詐欺・盗難から守る分野。
● 関連項目
- № 435フロントランニング(ブロックチェーン)
- № 965サンドイッチ攻撃
- № 300DeFi