ブロックチェーンセキュリティ会社CertiK：DeFiのセキュリティに注意喚起

　　2021年の5月から、DeFiのセキュリティインシデントが多発でしていました。統計によると、Belt Finance、BurgerSwap、Julswap、Merlin、AutoShark Finance、Bogged Finance、Pancake Bunnny、Venus、FinNexus、bEarn Fi 、EOS Nation、xToken、Rari Capital、Value DeFi、Spartanなど、約15のプロジェクトがハッキングされ、約3億米ドルの損失が予測されました。非常に多くの攻撃の中、バイナンススマートチェーン（Binance Smart Chain ：BSC）のDeFiプロジェクトがハッカーの集中攻撃があったようで、主な攻撃方法はライトニングローンでした。5月30日にBSCは、頻繁的に起きたセキュリティインシデントに対応するため、公式ツイッターで「最近、BSCチェーンのプロジェクトに対するフラッシュローン攻撃が8件以上発生しており、現在、BSCを目標にした組織的なハッカーチームが存在していると思われます。 すべてのDAppはハッキングに注意し、予防対策を行う必要」と発表しました。

　　ハッカーは、さまざまなレベルで漏らされているセキュリティホールを利用し、攻撃します。これらのセキュリティホールは、大きく4つに分類できます。

　　暗号キーの漏洩

　　スマートコントラクトでは、修飾子は特定の機能利用を制限します。これらの機能は通常、契約構成を変更したり、スマートコントラクトに保持されている資産を管理したりするために使用される特権機能です。ハッカーは暗号キーを入手すると、スマートコントラクトを完全に利用し、ユーザーの資金を盗むことができます。

　　コーディングエラー

　　DeFiでは、一部のセキュリティホールは非常に複雑ですが、スマートコントラクトの小さなコーディングエラーで大きな事故に展開され、何百万ものの資産に損害を与える可能性があります。

　　一般的なコーディングエラーには次のようなものがあります。

　　・許可された関数 (変更され)

　　・スペルミス

　　・数字ミス

　　・正確な変数割り当てが見つからない/間違っています

　　フラッシュローンと価格操作

　　フラッシュローンは、Aave や DyDx などの契約から多額の資金を借りて、一定の手数料を得る方法です。普通の金融ローンと同じように、トランザクションで返済する必要があることです。 そうでない場合、ローンが返金されます。これらのローンの利用プロセスは次のとおりです。

　　1．フラッシュローンを利用して大量のトークンAを借ります

　　2．DEXでトークンAをトークンBに交換（トークンAの価格を下げ、トークンBの価格を大幅に上げます）

　　3．A/B取引ペアの価格に依存するDeFiプロジェクトをし利用します

　　4．フラッシュローンを返済します

　　第三者契約の悪用とビジネスロジックエラー

　　一部のプロジェクトは、他のプロジェクトからコードを「借入」します。たとえば、PancakeSwapはUniSwapのコードを借用します。サードパーティコードのソースにセキュリティホールがある場合、そのコードを借入しているプロジェクトにもセキュリティホールができてしまします。プロジェクトの開発者が使用するサードパーティのコードに精通していない場合、このセキュリティホールが悪用されると、大きな損失を引き起こす可能性があります。