import { Image } from 'next/image'

こんにちは、クリプト愛好家の皆さん！もし分散型金融（DeFi）の動向を追っているなら、人気の永久先物取引プラットフォームであるGMXで最近発生したセキュリティインシデントをご存知かもしれません。BlockSecチームは2025年7月9日に、GMXのオーダーキーパーアカウントを狙った攻撃の初期分析を発表しました。ブロックチェーンの世界にまだ慣れていない方にも分かりやすいように、この事件を解説していきましょう。

GMXのオーダーキーパーで何が起きたのか？

BlockSecのツイートによれば、問題はGMXのオーダーキーパーアカウント（アドレス：0xd4266f8f82f7405429ee18559e548979d49160f3）からのトランザクションに端を発しています。このアカウントはプラットフォーム上の注文を実行する役割を持っており、executeDecreaseOrderという関数の最初のパラメータにコントラクトアドレスを渡していました。専門的に聞こえますが、簡単に言えばこの関数は開かれているポジションの減少を処理するものです。ところが、攻撃者が巧妙な手口、つまりリエントランシー攻撃​を用いてこの脆弱性を突いたのです。

リエントランシー攻撃とは、悪意のあるコントラクトが元の関数の処理が完了する前に被害者のコントラクトを呼び戻す攻撃です。例えるなら、相手が話している途中で割り込んで不意に多くの情報を引き出すようなものです。このケースでは、攻撃者がこの手法を使い資金を不正に引き出すかシステムを操作した可能性があります。詳細はまだ調査中ですが、DeFiハッキングの典型的な手法の一つです。

攻撃者の戦略をさらに掘り下げる

別のツイートでは、オーダーキーパー自体がハックされたわけではないと説明しています。攻撃者が作成したコントラクトがシステムを騙して悪意ある注文を処理させたことが原因です。つまり、オーダーキーパーを直接攻撃するのではなく、executeDecreaseOrderの外部呼び出しの処理に存在する弱点を利用する形で、自作のコントラクトを悪用したのです。

スマートコントラクトに詳しい方なら、この関数のロジックの欠陥やリエントランシーガードの不在が原因と推測できるでしょう。リエントランシーガードとは、処理中の関数が完了するまで再度呼び出されるのを防ぐロックのようなものです。これが無いと、攻撃者は何度もコントラクトに入り込み資金を奪うことができ、2016年のDAOハックのような有名な事件の手口と同じです。

DeFiとブロックチェーンセキュリティにおける意味

この事件はDeFiコミュニティにとって大きな警鐘となりました。Arbitrumブロックチェーン上に構築されたGMXは、分散型の永久先物取引プラットフォームとして、ユーザーが資金を自身で管理できる点が強みです。しかし、ジョージア工科大学の記事が指摘するように、最高のDeFiプラットフォームでも脆弱性があればハッカーの標的になり得ます。中央集権的な管理がないことは強みであると同時に、問題発生時に迅速な対処が難しいという弱点も持っています。

リエントランシー攻撃自体は新しい手法ではありません。2023年のdForceハックなど、過去の事件がその破壊力を示しています。TechTargetのガイドでは、リエントランシーガードの導入と外部呼び出しの慎重な管理が重要な防御策とされています。GMXに関しては、コード監査やアップグレードによる脆弱性の修正が検討されるでしょう。

GMXとコミュニティの今後は？

2025年7月10日午前0時21分（JST）時点で、被害の全容はまだ明らかになっていません。しかし、ブロックチェーンコミュニティは騒然としており、BlockSecやxdev_10らの専門家が調査をリードしています。もしあなたがミームトークンのトレーダーやブロックチェーン実務者なら、スマートコントラクトのセキュリティについて学び直す良い機会です。Mediumのリエントランシー解説をチェックしたり、GMXのGitHubリポジトリ（gmx-io/gmx-contracts）でプラットフォームの内部動作を確認してみてください。

Meme Insiderでは、ミームトークンの世界と交差するブロックチェーン技術の最新情報を常にお届けしています。この続報も追いかけていきますので、どうぞご期待ください。質問や意見があればコメント欄にぜひお寄せください。お待ちしています！