暗号通貨の世界はテンポが速く、ミームトークンやDeFiプロジェクトが雨上がりのキノコのように次々と現れますが、セキュリティは依然として最優先です。最近、BlockSecのPhalconチームがイーサリアム上でSILトークンに関する不審な活動を発見しました。SILはDeFiの先駆者Andre Cronjeが約4年前に作成したプロジェクトです。攻撃者は、正体不明の2つのスマートコントラクトの脆弱性を突いて約$120,000を吸い上げました。ミームトークンやブロックチェーン技術に関心があるなら、適切な防御策がいかに重要かを痛感させる事件です。

簡単に分解して説明します。被害を受けたコントラクトは同一のアドレスからデプロイされていましたが、ソースは公開されていませんでした。重要な関数であるapproveERC20とwithdrawAllにアクセス制御が設定されていませんでした。平たく言えば、アクセス制御は玄関の鍵のようなものです。鍵がなければ誰でも入れてしまいます。ここでは、攻撃者が自由にトークン送金を承認し、コントラクトに保管されている資産を引き出せたため、資金流出が発生しました。

攻撃の内訳

このエクスプロイトは複数のトランザクションに分かれて実行され、各トランザクションは異なる外部所有アカウント（EOA）から開始されました。EOAとは、個人やボットが管理する通常のウォレットアドレスのことです。

最初のトランザクション：手早いWBTC回収

最初の攻撃（Phalcon Explorerで見る）では、攻撃者はコントラクト0xd9d097b05862b73269e6eecd2e9912a815bbe7d6を標的にしました。approveERC20を呼び出してWrapped Bitcoin（WBTC）の転送を承認し、その後withdrawAllで約0.188 WBTC（当時で約$21,000相当）を引き出しました。一部はSushiSwapでETHにスワップされ、残りは攻撃者のウォレットに送られています。ここでの純損失は約$37,000で、主にSILとペアになった流動性プールからの損失が大きかったようです。

大きな一撃：フラッシュローンを使った手口

2回目のトランザクション（Phalcon Explorerで見る）が最大の被害をもたらし、約$109,000の損失を引き起こしました。難しかった点は、withdrawAllを実行するには先に一定量のSILをバーン（焼却）する必要があったことです。バーンとは条件を満たすためにトークンを永久に消す行為です。

SILを事前に保有せずにこれをクリアするため、攻撃者はBalancer Vaultからフラッシュローンを実行しました。フラッシュローンはDeFiの強力な手段で、担保なしで大きな額を借りられますが、全て同一トランザクション内で返済しなければロールバックされます。ここでは8 WETHと115 USDTを借り、その後Uniswap V3、SushiSwap、Curve.fiなどを横断してスワップを繰り返し、必要な量のSILを取得しました。

SILを入手すると必要量をバーンし、脆弱な関数を持つコントラクト0x6cfa8e8d59686594c4aaf9ded37daee7a2268d39を呼び出して、DAI、USDC、USDT、WBTC、MKR、SNX、LINK、YFI、AAVEなど、多数のトークンを排出しました。SIL自体が最も大きな痛手を受け、流動性プールで$69,000以上が失われました。攻撃者は各種資産を取得し、その一部をEtherに変換して換金しやすくしています。

Phalconは3回目のトランザクションにも言及していますが、詳細は乏しく、おそらく小規模な類似手法で残りの合計が$120Kに達したものと推測されます。

なぜSILなのか？そしてミームトークンなのか？

SIL（Silentium）は典型的な犬や猫をテーマにしたミームコインではありませんが、コミュニティ主導の雰囲気やSushiSwapのようなDEX上での流動性の存在から、広義のミームトークン・エコシステムに属すると言えます。Andre Cronje（Yearn.financeの創設者の一人）によって作られ、実験的なトークンとして始まりましたが、その後はあまり目立たない存在でした。このエクスプロイトは、古くて知名度の低いトークンであっても脆弱なコントラクトに関連していれば標的になり得ることを示しています。特にハイプがセキュリティ監査を上回るミーム中心の分野ではなおさらです。

参考までに、DEXToolsのデータによればSILは低い出来高で約$2.44で取引されています（DEXToolsデータ）。SushiSwap V2でのインパーマネントロス保護に関与していたことが、これらのプールを魅力的なターゲットにした可能性があります。

ミームトークン愛好家への教訓

これは単なる別のハック記事ではなく、ブロックチェーン関係者への重要な警鐘です。ミームトークンはバイラル性で成長しますが、セキュリティを怠ると破滅的な結果を招きます。主なポイントは以下の通りです：

• Audit Everything（すべて監査する）: 未検証のコントラクトは要警戒。Etherscanのようなツールでコードを確認できますが、BlockSecのような専門企業によるプロの監査が理想です。
• Implement Access Controls（アクセス制御を導入）: OpenZeppelinのOwnableのようなパターンを使い、機密性の高い関数の呼び出しを制限しましょう。
• Monitor for Suspicious Activity（不審な活動を監視）: Phalconのようなシステムはリアルタイムで異常を検出するのに非常に役立ちます。
• Diversify and DYOR（分散と自分で調査）: ミームトークンを保有する場合はリスク分散を行い、流動性プールを自分でよく調べてください。フラッシュローンを用いたエクスプロイトはDeFiで一般的ですから、関与するプロトコルを理解することが重要です。

Meme Insiderでは、ミームトークン分野で一歩先を行くための情報提供に努めています。今後もエクスプロイトや技術ニュース、ブロックチェーン知識を高めるためのコンテンツをお届けします。このSIL事件について意見があれば、コメントで教えてください！

Andre Cronjeのプロジェクトについては、彼のXプロフィールをご覧ください。暗号の世界では、警戒心こそが最良のミームです。