実録:価格操作攻撃(再び)— Rari Capital事件

実録:価格操作攻撃(再び)— Rari Capital事件

5月8日、PeckshieldはRariCapitalに関するセキュリティインシデントを報告しました。詳細な調査の結果、これは、DeFiRanger: Detecting Price Manipulation Attacks on DeFi Applicationsで説明した価格操作攻撃(間接的なもの)の一種であることが判明しました。本論文では、直接的および間接的な価格操作攻撃を含む、DeFiアプリケーションに対する2種類の新しい攻撃の検出に焦点を当てています。前者は、攻撃者が脆弱なDeFiアプリを攻撃することによって、同じDEXで不要な取引を行うことで、DEX内のトークン価格を直接操作することを意味します。後者は、攻撃者が脆弱なDeFiアプリのトークン価格を間接的に操作することを意味します。このセキュリティインシデントは、間接的な価格操作攻撃の一例です。

原因

攻撃の原因を分析した結果、安全でない価格依存性が原因であることが判明しました。具体的には、RariのLPトークンの価格は、Rariが保有するLPトークンであるibEth(Ether建て)の価値に依存します。残念ながら、ibEth LPトークンの価格は、攻撃者がwork関数を呼び出すことによって操作される可能性があります。

攻撃者が保有するRariトークン価値 = Rari内のETH準備金 * Rariトークン数/Rariトークン総供給量

Rariが保有するibEthトークン価値 = ibEth内のETH準備金 * ibEthトークン数/ibEthトークン総供給量

Rari内のETH準備金は、攻撃者がwork関数を呼び出すことによってibEth内のETH準備金を増加させることで操作されるibEthトークン価値に影響されます。

我々のシステムDefiRangerを使用すると、図に示されているDeFiのセマンティクスを容易に復元できます。流動性マイニング(LPトークンを取得するためにEtherを預ける)および流動性キャンセル(Etherを取得するためにLPトークンを引き出す)におけるLPトークンの数は、同じEtherの量(緑色の背景)に対して異なります(赤い丸で囲まれています)。

攻撃プロセス

攻撃プロセスを以下のステップで示します。

  1. 攻撃者はibEthのwork関数を呼び出します。
  2. この関数はSushiswapGoblin.work関数を呼び出し、さらに攻撃者が制御するコントラクト(0x2f755e8980f0c2e81681d82cccd1a4bd5b4d5d46)を呼び出します。
  1. コントラクトはまず、58903.4755276693 Ether(フラッシュローンから借り入れたもの)をRariに預け入れ、RariのLPトークン(146281892117489076580650)を取得します。
  2. 攻撃者は3818.9022134987213 EtherをibEthに転送します。これはibEthのLPトークンの価格を(総供給量に影響を与えることなく)上昇させる重要なステップです。これにより、RariのLPトークンの価格にも影響します。Rariのプール内の総Ether準備金は、保有するibEth LPトークンの価格上昇により増加するためです。なお、攻撃者はトークンを追加することでRariやibEthのトークン価格を操作することはできません。なぜなら、それによってもトークンの総供給量が増加してしまうからです。
  3. 攻撃者はEtherを引き出します。Rariトークンの価格が高くなっているため、攻撃者はより少ないRari LPトークン(146281892117489076580650ではなく146196247321127203315331)を使用して、フラッシュローンを返済するために同じ量のEtherを取得できます。
  1. 攻撃者はwork関数の終了時に返却されたEtherを取得します。

まとめ

結論として、RariCapitalが直面したセキュリティ侵害は、DeFiアプリケーションに潜む巧妙な脅威を鮮明に思い起こさせます。巧妙な搾取戦略を通じて、攻撃者は間接的な価格操作攻撃を実行しました。このインシデントは、スマートコントラクトにおける安全でない価格依存性の使用に関連する重大な脆弱性を露呈しました。この攻撃は、DeFiプロジェクトが、急成長するDeFiエコシステムの完全性とセキュリティを脅かす直接的および間接的な操作戦術から保護するために、DeFiRangerのような堅牢な検出システムを採用する必要性が緊急であることを強調しています。

BlockSecについて

BlockSecは、世界的に著名なセキュリティ専門家グループによって2021年に設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、Web3の世界のセキュリティとユーザビリティを向上させ、その大規模な普及を促進することに専念しています。そのために、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、セキュリティ開発と脅威のプロアクティブなブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてWeb3ビルダーが仮想通貨の世界を効率的にサーフィンするためのMetaDock拡張機能を提供しています。

現在までに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300社以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalなどの著名な投資家から2回の資金調達で数千万米ドルを受け入れています。

公式ウェブサイト:https://blocksec.com/

公式Twitterアカウント:https://twitter.com/BlockSecTeam

Sign up for the latest updates
Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.

Top 10 "Awesome" Security Incidents in 2025

Top 10 "Awesome" Security Incidents in 2025

To help the community learn from what happened, BlockSec selected ten incidents that stood out most this year. These cases were chosen not only for the scale of loss, but also for the distinct techniques involved, the unexpected twists in execution, and the new or underexplored attack surfaces they revealed.

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

On August 29, 2025, Panoptic disclosed a Cantina bounty finding and confirmed that, with support from Cantina and Seal911, it executed a rescue operation on August 25 to secure roughly $400K in funds. The issue stemmed from a flaw in Panoptic’s position fingerprint calculation algorithm, which could have enabled incorrect position identification and downstream fund risk.