ブロックチェーン分析企業チェイナリシスは9日、ソースコードが公開検証されていないスマートコントラクトを狙う攻撃が増えているとする分析を公表した。同社によると、過去6カ月で4件の攻撃により計3,670万ドル(約59億円)が流出したという。
Truebitで最大約42億円の被害
チェイナリシスが確認した4件のうち、最も被害額が大きかったのはトークン化資産プロトコルのTruebitである。Truebitでは2,620万ドル(約42億円)が流出し、Trusted Volumesでは590万ドル(約9.5億円)、Aperture Financeでは320万ドル(約5.1億円)、Ekuboでは140万ドル(約2.2億円)の被害が確認されたという。
未検証のスマートコントラクトとは、イーサスキャンなどのブロックチェーンエクスプローラー上で、ソースコードが公開検証されていないコントラクトを指す。ソースコードが検証されていれば、開発者や監査企業、コミュニティが内容を確認しやすい。一方で、未検証のコントラクトは外部から処理内容を把握しにくく、バグ報奨金や第三者レビューの対象にもなりにくい。
チェイナリシスによると、攻撃者はブロックチェーン上に残る実行用コードを解析し、人が読める形に近づけることで脆弱性を探していたという。ソースコードが公開されていない場合でも、実行用コードから処理の流れを推測し、権限管理や資金移動の欠陥を見つける手法である。
チェイナリシスは、AIを使った脆弱性分析がこのような攻撃を加速させる可能性があるとも指摘している。同社は、ユーザー資金を扱うスマートコントラクトでは、ソースコードの公開検証を最低限のセキュリティ要件として扱い、実際に稼働しているコントラクトの監査やバグ報奨金の対象拡大、リアルタイム監視も必要だとしている。
関連:予測市場初のオンチェーン監視導入──ポリマーケットがチェイナリシスと提携
関連:Truebit、スマートコントラクト攻撃で42億円相当のETH流出──TRUは99.9%暴落
※価格は執筆時点でのレート換算(1ドル=160.4円)
![MANTRA [Old]](https://coin-images.coingecko.com/coins/images/12151/large/OM_Token.png?1696511991)
