ミームトークン愛好家の皆さん、こんにちは！ブロックチェーンと暗号通貨の世界に深く関わっているなら、リターンが大きい分リスクも大きいことはご存知でしょう。最近、BlockSecのPhalconツールがBSC上のBURNトークンを狙ったこっそりとしたエクスプロイトを警告しました。この事件は、設計不備のreferral rewardシステムが原因で約15万ドルの損失を招きました。ここで何が間違っていたのか、将来同様の問題を見つける方法と合わせて段階的に分かりやすく説明します。

BURNトークンとは？

まずBURNの簡単な紹介です。2023年末に@Burn_buildingのチームによってローンチされたBURNは、BSC上のコミュニティ主導トークンで、「Burn and Build」モデルを採用しています。コンセプトはシンプル：BURNを保有し、コミュニティに参加し、トークンのバーンや開発イニシアチブを通じてエコシステムを成長させる。典型的なミームトークンの雰囲気を持ち、楽しく参加型で分散化を目指しています。トークンコントラクトはBSCScanでこちらから確認できます：https://bscscan.com/token/0x19c018e13cff682e729cc7b5fb68c8a641bf98a4。

ただし多くのミームトークンと同様に、報酬を得るためのstakingやlocking機能があり、そこが問題を引き起こしました。

エクスプロイト：事の顛末

PhalconがXに投稿したアラートによると、攻撃はアドレス0x93fd192e1cd288f1f5ee0a019429b015016061f9にある未検証のスマートコントラクトを狙いました。このコントラクトはBURNのstakingとlockingを扱い、referral rewardをBUSD（米ドルに連動するステーブルコイン）で支払っていました。

根本的な問題は？報酬がBURN/BUSDのtrading pairのspot priceを使って計算されていたことです。流動性の低いプールではこれが非常に簡単に操作可能です。攻撃の流れは次の通りです：

1. ステーキングとreferral：通常、referrerを通じてBURNをstakeまたはlockすると、ステーク量と現在のBURN/BUSDの価格に基づいてBUSDで報酬が支払われます。

2. flash loansによる価格操作：攻撃者はflash loans（同一トランザクション内で返済が必要な無担保の短期ローン）で大量のBURNを借り、BURNの価格を一時的に押し上げました。次に、複数の新しいコントラクトを「ユーザー」として作成し、1アドレスあたり1つのreferralルールや最大投資額の制限を回避しました。これにより、膨れ上がったBUSD報酬を大量に獲得できたのです。

3. 売却して利益確定：報酬を積み上げた後、攻撃者は借りたBURNを売却して価格を暴落させました。価格が下がったところでBUSD報酬を引き出し、そのBUSDで割安にBURNを買い戻すことで差益を得ました。

結果は？約15万ドルが流出しました。Phalconは疑わしいトランザクションの一例も投稿で共有しています（詳細はリンク先のアラートを確認してください）。

専門家の意見と教訓

スレッドには@veritas_web3からの反応もあり、「報酬にspot priceを使うのは既知の脆弱性。回避可能な攻撃だった」と指摘されました。その通りで、oraclesやtime-weighted averagesのようなセーフガードなしに操作しやすい価格に依存するのは、DeFiにおける災難のもとです。

ミームトークンの作成者や投資家にとって、これは警鐘です。特に未検証のコントラクトは必ず監査し、Phalconのようなツールでリアルタイム監視を行いましょう。類似プロジェクトを構築・投資する際は、anti-flash-loanの対策やより安定した価格フィードの導入を検討してください。

ミームトークン界で安全にいるために

このような事件は、ミームトークンの荒波でセキュリティがいかに重要かを浮き彫りにします。Meme Insiderでは、皆さんがより賢くこの海を航行できるよう情報提供に注力しています。このエクスプロイトに関するご意見や安全なミームトークン運用のヒントがあれば、ぜひコメントで教えてください！

警戒を怠らず、楽しいミームライフを！ 🚀