BSCコントラクトの重大な脆弱性が$100,000の損失を引き起こす

BlockSec Phalconは、著名な監査会社BlockSecのセキュリティプラットフォームであり、最近Xネットワーク上で、BSCチェーンに展開された未知のコントラクトに対する高度な攻撃の発見を報告しました。この悪意のある操作により約10万ドルが盗まれ、トークンペアの焼却プロトコルの同期メカニズムに根本的な欠陥があることが明らかになりました。

プロトコルのアーキテクチャ：脆弱性の所在

Odailyが共有した分析によると、問題の根源は流動性焼却システムの設計にあります。この脆弱性は単なるコードの欠陥ではなく、連鎖的な操作を可能にするアーキテクチャにあります。プロトコルは、ペアのバランスを維持することを目的とした同期機能を実装していましたが、これがコントラクトの弱点となってしまいました。

この仕組みは、交換操作が行われるたびに一定割合のトークンを自動的に破壊するようにプログラムされており、この操作が資金を保護するためのものと信じられていました。しかし、同じ特徴が攻撃者にとって有利に働くツールとなったのです。

二段階の実行：攻撃の構造

攻撃者は、連続した2つの操作を用いたアービトラージ戦略によって脆弱性を突きました。第一段階では、最初の交換中に流動性プールからPGNLZトークンの99.56%を抽出しました。この行為だけでもセキュリティメカニズムを作動させるはずでしたが、アーキテクチャはこれを許容しました。

第二段階では、攻撃者はPGNLZの売却操作を行い、コントラクトのtransferFrom関数を自動的に起動させました。この関数は設計通りに動作し、残りのPGNLPトークンの99.9%を破壊し、強制的な同期を実行しました。ここで脆弱性の全貌が明らかになりました：大量のPGNLPの焼却により、トークンの相対価格が人工的に上昇し、資金の価値指標を操作したのです。

攻撃者の利益：操作された価格の悪用

同期とトークン焼却による価格歪みを利用し、攻撃者は最終的な動きを実行しました。操作された価格を背景に、ほぼ全てのUSDTを引き出し、合計で10万ドルの損失をもたらす一連の流れを完了させました。

BSCエコシステムへの影響

この事件は、スマートコントラクトの脆弱性において繰り返されるパターンを浮き彫りにしています。表面的には独立しているように見える仕組みの融合が、予期しない攻撃ベクトルを生み出す可能性があるのです。BSCチェーン上で運用される開発者や、焼却機能を持つプロトコルを設計する者は、これらの仕組みが同期操作や資金移動とどのように連動しているかを再考し、これらの攻撃連鎖を断ち切るための追加検証を実装すべきです。