# 分散型金融プラットフォームBalancerがハッカーの攻撃を受けたテクニカル分析近日、"借貸即採掘"モデルで注目を集める分散型金融プラットフォームがハッカー攻撃を受けました。攻撃者は、このプラットフォーム上のSTAとSTONKの2つのERC20デフレトークンプールの脆弱性を利用し、50万ドル以上の損失をもたらしました。安全専門家の分析によると、問題の根源はそのプラットフォーム上のデフレーショントークンとそのスマートコントラクトが特定の状況下で非互換性があることにあります。これにより、攻撃者は価格の偏差を持つトークン流通プールを作成し、そこから利益を得ることができました。攻撃プロセスは主に四つのステップに分かれています:1. 攻撃者はある借貸プラットフォームから大量のWETHをフラッシュローンとして取得しました。2. 攻撃者は、ターゲットプラットフォームが保有する大部分のSTAトークンが使い果たされるまで、swapexactMountin()の呼び出しを繰り返し実行し、次の攻撃の準備をします。3. STAトークンとスマートコントラクトの不整合性、すなわち記帳と残高の不一致を利用して、攻撃者は資金プール内の他の資産を成功裏に枯渇させ、最終的に52万ドル以上の利益を得ました。4. 攻撃者はフラッシュローンを返済し、攻撃によって得たデジタル資産を移転しました。! [](https://img-cdn.gateio.im/social/moments-1d5e2f8239e8fae47e4228887d4363bc)攻撃の第二段階では、攻撃者は巧妙にプラットフォームに残されたSTAの量を極めて少なくし、これがSTAの価値を異常に引き上げる原因となりました。その後、攻撃者はトークン送金時の手数料メカニズムを利用して、プラットフォームが実際に受け取ったSTAの量と内部の帳簿との間に不一致を生じさせました。! [](https://img-cdn.gateio.im/social/moments-fdfa891ea0051f0287f2b16695544f0f)反復してgulp()関数を呼び出すことで内部の帳簿をリセットし、攻撃者はごく少量のSTAで大量の他の資産を交換し続け、流通プール内のWETH、SNX、LINKなどの資産を使い果たすことができました。! [](https://img-cdn.gateio.im/social/moments-7530f62bf34cb6232d8f952b0986907b)この事件は再びDeFiのコンポーザビリティに存在する互換性リスクを暴露しました。同様の攻撃を防ぐために、以下のことをお勧めします:1. デフレトークンは、送金時に手数料を支払うのに十分な額がない場合は、直接ロールバックするか、Falseを返す必要があります。2. DeFiプラットフォームは、毎回transferFrom()関数を呼び出した後に、実際の残高を確認する必要があります。! [](https://img-cdn.gateio.im/social/moments-a41efc7430d8002a7f92eaf2deadcb11)さらに重要なことは、DeFiプロジェクトの開発者は良好なコード規範を採用し、ローンチ前に包括的なセキュリティテストを実施するべきです。同時に、さまざまなトークン標準とDeFiプロジェクトの組み合わせの動作に対する十分な互換性チェックも非常に重要です。! [](https://img-cdn.gateio.im/social/moments-d4db2478aeab5143714fdb5bd606443e)今回の攻撃により約52.3万ドルの損失が発生し、さまざまなデジタル資産が関与しています。これは間違いなく全体の分散型金融エコシステムに影響を与え、開発者に対してスマートコントラクトの安全性を重視する必要があることを警告しています。分散型金融分野の急速な発展に伴い、類似のセキュリティ事件が引き続き発生する可能性があるため、安全意識と技術的な防止策を強化することが特に重要です。! [](https://img-cdn.gateio.im/social/moments-80cbe153bb47af4ba9c83adcf79972b9)! [](https://img-cdn.gateio.im/social/moments-7567ec641b83134abff55b4e7c6bda02)! [](https://img-cdn.gateio.im/social/moments-6c4b5a8a7c2266239a7a522c77273db9)! [](https://img-cdn.gateio.im/social/moments-ca45f54007c181476ca73da9db54481b)
Balancerがハッカーに攻撃され、52万ドルの損失。分散型金融の互換性リスクが再びフォローされる。
分散型金融プラットフォームBalancerがハッカーの攻撃を受けたテクニカル分析
近日、"借貸即採掘"モデルで注目を集める分散型金融プラットフォームがハッカー攻撃を受けました。攻撃者は、このプラットフォーム上のSTAとSTONKの2つのERC20デフレトークンプールの脆弱性を利用し、50万ドル以上の損失をもたらしました。
安全専門家の分析によると、問題の根源はそのプラットフォーム上のデフレーショントークンとそのスマートコントラクトが特定の状況下で非互換性があることにあります。これにより、攻撃者は価格の偏差を持つトークン流通プールを作成し、そこから利益を得ることができました。
攻撃プロセスは主に四つのステップに分かれています:
攻撃者はある借貸プラットフォームから大量のWETHをフラッシュローンとして取得しました。
攻撃者は、ターゲットプラットフォームが保有する大部分のSTAトークンが使い果たされるまで、swapexactMountin()の呼び出しを繰り返し実行し、次の攻撃の準備をします。
STAトークンとスマートコントラクトの不整合性、すなわち記帳と残高の不一致を利用して、攻撃者は資金プール内の他の資産を成功裏に枯渇させ、最終的に52万ドル以上の利益を得ました。
攻撃者はフラッシュローンを返済し、攻撃によって得たデジタル資産を移転しました。
!
攻撃の第二段階では、攻撃者は巧妙にプラットフォームに残されたSTAの量を極めて少なくし、これがSTAの価値を異常に引き上げる原因となりました。その後、攻撃者はトークン送金時の手数料メカニズムを利用して、プラットフォームが実際に受け取ったSTAの量と内部の帳簿との間に不一致を生じさせました。
!
反復してgulp()関数を呼び出すことで内部の帳簿をリセットし、攻撃者はごく少量のSTAで大量の他の資産を交換し続け、流通プール内のWETH、SNX、LINKなどの資産を使い果たすことができました。
!
この事件は再びDeFiのコンポーザビリティに存在する互換性リスクを暴露しました。同様の攻撃を防ぐために、以下のことをお勧めします:
デフレトークンは、送金時に手数料を支払うのに十分な額がない場合は、直接ロールバックするか、Falseを返す必要があります。
DeFiプラットフォームは、毎回transferFrom()関数を呼び出した後に、実際の残高を確認する必要があります。
!
さらに重要なことは、DeFiプロジェクトの開発者は良好なコード規範を採用し、ローンチ前に包括的なセキュリティテストを実施するべきです。同時に、さまざまなトークン標準とDeFiプロジェクトの組み合わせの動作に対する十分な互換性チェックも非常に重要です。
!
今回の攻撃により約52.3万ドルの損失が発生し、さまざまなデジタル資産が関与しています。これは間違いなく全体の分散型金融エコシステムに影響を与え、開発者に対してスマートコントラクトの安全性を重視する必要があることを警告しています。分散型金融分野の急速な発展に伴い、類似のセキュリティ事件が引き続き発生する可能性があるため、安全意識と技術的な防止策を強化することが特に重要です。
!
!
!
!