Back to Blog

Web3セキュリティの解明:BlockSecがDeFiハッキングに挑む方法

September 5, 2023
7 min read

絶えず進化するWeb3の世界において、セキュリティの重要性はいくら強調してもしすぎることはありません。弱気市場にもかかわらず、DeFiハッキングや詐欺の憂慮すべき急増が懸念を引き起こしています。数え切れないほどの被害者が、苦労して稼いだお金を失った後に支援を求め、問題の重大性と予防策の喫緊の必要性を浮き彫りにしています。

BlockSecの紹介

当社のブロックチェーンプラットフォームは、著名な投資家や顧客の支援を受けて2021年に設立されました。トランザクションの分析にセキュリティ研究者が広く利用しているPhalcon Explorerを含む様々な製品を提供しています。さらに、プラットフォームは、コミュニティに無料で提供されているMetaDockMetaSleuthを提供しています。

なぜWeb3でセキュリティが重要なのか

Web3におけるセキュリティの重要性は明らかであり、弱気市場の状況下でさえ、DeFiハッキングや詐欺の増加は懸念事項です。お金を失った後に支援を求めてくる被害者の数が増加していることは、問題の深刻さと、そのような攻撃による破産を防ぐための支援の必要性を示しています。

なぜDeFiハッキングが非常に一般的であるのか

DeFiハッキングが今日一般的である理由はいくつかあります。

  • まず、攻撃者にはこれらのハッキングを実行するための経済的インセンティブがあり、そのような行為から substantial な利益を得ることができます。
  • 次に、十分な資格のある開発者の不足が、プロトコルの脆弱性に寄与しています。多く開発者はセキュリティよりも機能性に重点を置き、ブロックチェーンセキュリティに関する適切なトレーニングを受けていません。
  • さらに、大学ではブロックチェーンセキュリティに関するコースが限られており、コミュニティにおける資格のある専門家の不足につながっています。
  • 最後に、一部のハッキングは、組織化されたハッキンググループまたは国家組織によって開始されます。これらのグループは非常に秘密主義で執拗であり、substantial な利益を求めて金融機関、軍事組織、暗号通貨取引所を特別に標的としています。彼らの高度な攻撃手法と豊富なリソースは、DeFiプロジェクトにとってさらに大きな脅威となっています。

DeFiプロトコルのセキュリティ

プロトコルセキュリティについて議論する際、多くの人がDeFiプロトコルの主な解決策としてコード監査を考えます。しかし、コード監査だけでは、その高コストと時間のかかる性質のために十分ではありません。資格のある監査サービスは高価であり、プロセスには数ヶ月かかる場合があり、時間的制約のある一部のプロトコルにとっては非現実的です。

さらに、この分野では資格のある監査人が不足しており、利用可能な専門知識が不足しています。その結果、一部のプロトコルは、包括的なセキュリティ対策なしで運用を開始せざるを得なくなり、未解決の脆弱性や潜在的な脅威につながる可能性があります。

なぜWeb3でプロアクティブなアプローチが重要なのか

DeFiプロトコルのセキュリティを確保するためには、プロアクティブなアプローチが不可欠です。これは、プロトコルが単に展開して放置しておけばよいというわけではないことを意味します。プロトコル内の進行中のアクティビティを積極的に監視し、潜在的な攻撃に自動的に対応する準備ができている必要があります。

このプロアクティブなアプローチの重要性は、次の理由によりWeb2よりもWeb3で高まります。

  • まず、Web3はより多くの攻撃ベクトルを導入し、ブロックチェーンのオープン性は、善良なユーザーと悪意のあるユーザーの両方がスマートコントラクトのソースコードにアクセスして分析することを容易にします。
  • 次に、脆弱性の悪用は、特にブロックチェーントランザクションの匿名性により、攻撃者にとって有利になります。これにより、それらのアクティビティの追跡が困難になります。
  • 第三に、フラッシュローンが利用可能になったことで、Web2では攻撃を開始するために substantial な資本が必要でしたが、攻撃者が財務能力を増幅できるようになりました。
  • 最後に、特定のプライベートトランザクションサービスが悪用されて悪意のあるトランザクションを隠蔽する可能性があります。

したがって、Web3のユニークな特性は、プロトコルやユーザーに対する悪意のある攻撃を容易に発生させると同時に、攻撃者を追跡して特定することをより困難にします。

当社のシステムはどのように機能するか

当社は、ブロックチェーン業界でBlockSec Phalconと呼ばれるプロトタイプシステムを開発しました。2022年2月以来、コード監査を超えて、DeFiハッキングに関連する特定の課題を克服する方法を積極的に探求してきました。

BlockSec Phalconは、ブロックチェーン上のトランザクションを綿密に監視することを可能にします。これらのトランザクションを監視し、自動的に対応することで、攻撃トランザクションをリプレイし、攻撃コントラクトの重要なロジックを再現することによって、基盤となるテクノロジーを再構築できます。

このプロセスにより、新しいレスキュースマートコントラクトを合成できます。**その後、レスキュートランザクションを送信して、当社のトランザクションが攻撃トランザクションよりも高速であり、ブロックチェーン上に配置されるようにすることができます。**このアプローチを活用することで、より速く行動し、ブロックチェーン内で主導的な地位を確保することによって、攻撃トランザクションを完全にブロックする可能性があります。

「攻撃」コントラクトの構築はどのように機能するか

このメカニズムまたはシステムの鍵となる側面は、攻撃トランザクションと「攻撃」コントラクトを自動的に再構築する方法です。基本的な考え方は、攻撃トランザクションと攻撃スマートコントラクトで最も重要なものは何かを考慮することです。重要な要素は、スマートコントラクト内の攻撃ロジックです。

基本的な考え方は単純ですが、実際にはそれほど単純ではありません。私たちは一連の技術的な課題に直面しています。最も重要な点は、スマートコントラクト内の基本ブロックの再利用をどのように処理するかということです。コンパイラは、コードサイズの縮小に一般的なプラクティスである、より小さいコードを生成するためにブロックの再利用を利用することがよくあります。このプロセス全体を通して、私たちは2世紀以上にわたって、あるいはそれ以上使用および開発されてきた技術であるバイナリコードリライティングの概念に触発されました。したがって、私たちはこのアイデアを活用し、バイトコードリライティングの技術に適用します。

達成した注目すべきマイルストーン

当社のシステムを活用することで、複数のプロトコル攻撃トランザクションを阻止し、substantial な流動性損失を回収しました。例えば、今年はParaSpaceの500万ドルの損失を回収し、昨年はSaddle Financeの380万ドルを回収しました。以下の議論では、これらのトランザクションをどのように阻止したかを説明するために、代表的なケースを強調します。

例としてParaSpaceを考えてみましょう。今年3月に攻撃を受けましたが、攻撃者は重大なミスを犯しました。十分なガスを割り当てなかったため、トランザクションがロールバックされました。当社はブロックチェーン上でこのトランザクションを監視および特定しました。その後、類似のレスキューコントラクトを自動的に合成しました。ブロックチェーン上でレスキューコントラクトを実行した後、BlockSecはParaSpaceの500万ドルの損失を正常に回収しました。

別のケースはPlatypusで、今年2月に攻撃を受けました。スマートコントラクトの脆弱性を悪用して、攻撃者はPlatypus DeFiプロトコルを悪用するエントリーポイントを見つけました。しかし、彼らは侵害されたコントラクトから資金を引き出すためのロジックの設定を見落としていました。その結果、ハッカーは課題に直面しました。侵害されたコントラクトから残りの240万ドルをどのように抽出するか?

このシナリオでは、BlockSecは攻撃コントラクトを自動的に逆アセンブルする内部システムを保有しています。ヒューリスティックな手法を通じて、攻撃スマートコントラクトの包括的な分析を実施し、興味深い機能を発見しました。

まず、このコントラクトのフラッシュローンコールバックが公開されていることがわかりました。第二に、PlatypusプールコントラクトはUSDCの承認を受けていました。プールコントラクトは、攻撃されたコントラクトからの承認を利用して、残りのUSDCを引き出すためにアップグレードできます。このアイデアとPoCをプロトコルと共有することにより、攻撃コントラクトから240万ドルを正常に回収するのを支援しました。

別のケースはTransit Swapで、MEVボットによって標的にされました。MEVボットのアドレスがProfanityという欠陥のあるツールによって生成されたことを発見しました。このツールの脆弱性を悪用して、MEVボットの秘密鍵を計算し、資金を回収してプロトコルに払い戻しました。

このシステムの効率を改善する方法

このシステムの効率を改善するには、慎重な検討と戦略的な行動が必要だと考えています。

  • まず、迅速かつプロアクティブな対応が不可欠です。状況が発生した際に、情報を収集し、直ちに行動を起こすことが重要です。
  • 次に、精度を維持することが重要です。過剰な誤ったアラートを生成しないようにする必要があります。前述したように、監視ツールが多すぎるアラートを生成すると、製品の使いやすさに大きな影響を与えます。したがって、攻撃者の追跡に焦点を当てるのではなく、体系的なアプローチを目指すべきです。

BlockSecは、ヒューリスティックな手法を使用して綿密なバイトコード分析を実施し、コントラクト分析および逆アセンブラ用のさまざまなツールを保有しています。これらのすべての措置は、包括的なシステムを構築し、効果的な製品を提供することを目的としています。

Web3のダイナミックな領域では、セキュリティが最も重要です。DeFiハッキングの増加に伴い、プロトコルとユーザーを保護するために、プロアクティブなアプローチを採用し、BlockSec Phalconのような革新的なシステムを活用することが不可欠です。セキュリティ対策の境界を継続的に押し広げることで、Web3の安全性と整合性を向上させ、安全で繁栄した分散型未来への道を開くよう努めています。

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.