オラクル操作
オラクル操作 とは何ですか?
オラクル操作スマートコントラクトが参照する価格やデータフィードを歪め、貸借・清算・決済で大きく誤った判断をさせる攻撃。
スマートコントラクトはオフチェーン/オンチェーンの価格・為替・乱数・イベントをオラクル経由で取り込みます。オラクル操作はソース、集約、オンチェーン消費者のいずれかを狙い、参照価格に使われる AMM プールを動かしたり、脆弱な単一フィードに偽データを流したり、複数ブロックの再編成を悪用したりします。これによりコントラクトは無料担保のミントや過小担保のローンを許し、誤った清算を発生させます。対策としては TWAP 価格、Chainlink・Pyth・RedStone など複数の分散オラクル、サーキットブレーカー、逸脱しきい値、担保ロジックに AMM スポット価格を直接使わない設計があります。
● 例
- 01
2022 年 10 月の Mango Markets 事件は MNGO のオラクル価格を吊り上げ、約 1.16 億ドルを借り出した。
- 02
2020 年 10 月の Harvest Finance 事件はフラッシュローンを使い Curve 系オラクルを操作して約 2400 万ドルを抜き取った。
● よくある質問
オラクル操作 とは何ですか?
スマートコントラクトが参照する価格やデータフィードを歪め、貸借・清算・決済で大きく誤った判断をさせる攻撃。 サイバーセキュリティの Web3 とブロックチェーン カテゴリに属します。
オラクル操作 とはどういう意味ですか?
スマートコントラクトが参照する価格やデータフィードを歪め、貸借・清算・決済で大きく誤った判断をさせる攻撃。
オラクル操作 はどのように機能しますか?
スマートコントラクトはオフチェーン/オンチェーンの価格・為替・乱数・イベントをオラクル経由で取り込みます。オラクル操作はソース、集約、オンチェーン消費者のいずれかを狙い、参照価格に使われる AMM プールを動かしたり、脆弱な単一フィードに偽データを流したり、複数ブロックの再編成を悪用したりします。これによりコントラクトは無料担保のミントや過小担保のローンを許し、誤った清算を発生させます。対策としては TWAP 価格、Chainlink・Pyth・RedStone など複数の分散オラクル、サーキットブレーカー、逸脱しきい値、担保ロジックに AMM スポット価格を直接使わない設計があります。
オラクル操作 からどのように防御しますか?
オラクル操作 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
オラクル操作 の別名は何ですか?
一般的な別名: 価格オラクル攻撃。
● 関連用語
- web3№ 424
フラッシュローン攻撃
1 つのトランザクション内で巨額の無担保フラッシュローンを借り、価格やガバナンスを操作して返済前に資金を盗み出す DeFi 攻撃。
- web3№ 1056
スマートコントラクトセキュリティ
オンチェーンプログラムを設計・レビュー・運用し、資金の盗難、ロジックの停止、想定外のルール違反に悪用されないようにする実践。
- web3№ 1055
スマートコントラクト監査
ローンチや更新の前に、スマートコントラクトのソースコード・デプロイ構成・経済設計を独立した第三者が点検するセキュリティレビュー。
- web3№ 435
フロントランニング(ブロックチェーン)
メンプール内の未確定取引を観測し、自分の取引を先に組み込ませて予測可能な価格影響から利益を得るオンチェーンの不正取引手法。
- web3№ 675
MEV(Maximal Extractable Value)
ブロックビルダー・バリデーター・Searcher が、自身のブロック内で取引を並べ替え、挿入、検閲することで得られる利益。
- web3№ 106
ブロックチェーンセキュリティ
分散台帳、コンセンサスメカニズム、スマートコントラクト、および周辺インフラを侵害・詐欺・盗難から守る分野。
● 関連項目
- № 910リエントランシー攻撃
- № 00351% 攻撃
- № 965サンドイッチ攻撃