概要:
メモや感想

概要:頻出する脆弱性を、種別毎にひとつずつ丁寧に解説している
神によって書かれし聖典。脆弱性やDefiといったテーマに限らず、他の技術系ブログや記事と比較しても突出して分かりやすい。個人的には、どういった解説記事を書くと分かりやすいかといったことまでお手本を示してくれているので、もはや神である。必読。

概要:脆弱性種別毎のベストプラクティスとアンチパターン
分類ごとに簡単なコードが挙げられており、GoodパターンとBadパターンが併記されているので理解しやすい。上述の「Bugハンターになろう」シリーズと共通する部分も多いので併せて読むことをおすすめする。

概要:BTCで過去にあった事例や理論上考えられる脆弱性を分類毎に解説したもの
良記事。マークルツリーや整数オーバーフローなどスマコンにも共通するものから、ネットスプリットやコンセンサスに関わるものまで網羅している。チェーンに焦点を当てているのでより高度だが、例えば大型アップデート時にチェーンが止まる事案(solana 2023/Febなど)の根本的原因を知れたのは良かった

概要:デザインパターン的な脆弱性の分類とチェックリスト
これもなかなか良記事。EVM(全部かは知らない)は一度デプロイしたらスマコンをアップデートできないので、プロキシを挟んで変更するらしいというのがここでも出てくる。バグが発生しやすそうなパターンを表にしてくれて、ちゃんと定義まで書かれているので体系的でわかりやすい。が、哀しいかな。PDFだと手元に置いといて参照するのが面倒なんすよ...。

概要:脆弱性のチェックリスト
2分で読める。参照用で手元に置いとくとたぶん幸せになれるやつ。

概要:EVM系学習リソースをすべて網羅していると言えるリンク集
包括的という意味でこちらに分類。前書きにもリンクを貼ったがあまりに凄まじいのでここでも言及しておく。
EVMで開発を志すすべての人を、その圧倒的物量で絶望の底へ叩き落してくれること間違いなし。活字中毒なところがある自分は、豊富なリソースなどを見ると普通なら骨っこを与えられた犬のように尻尾を振るのだが、こいつを見たときはさすがにちょっと引いた。活字中毒じゃない人だとおそらく失神してしまうと思われるので、リンク先を見る際は注意が必要。底のない沼へと引きずり込まれてしまう恐ろしいリンク集。※個人の感想です。

概要:あらゆるツールやフレームワークのまとめリンク
ツールに限らず、FaucetにRPCにIDEにと幅開く揃っているので、EVMで何か必要になったらここ見ればよさそう。ひと言概要も付いており探しやすい上、日本語ページも用意されているという心の配りよう。上の化け物リンク集が予備校教師なら、こちらは優しい家庭教師のお姉さん。これくらいならワクワクできるのでちょうどいい。

概要:モジュールで再利用可能なシステム開発をしようぜという提唱
他を読んでいてもしょっちゅうZeppelinというワードが出てくる。似たコントラクトを何個もあげるんじゃなく、オンチェーン上にライブラリをデプロイしてそれをモジュールみたいに使えばいいじゃん、ということをやりだしたのがZepplinなのである。それをおそらく5年前に書かれた記事で私は知ったのであった。
確かにこれができればガス代節約できるし、チェーンのスケーリング向上にもひと役買うし、セキュリティセーフだしと良いこと尽くめである。で、5年経った今現在そのへんがどうなっているのかということを私はまだ何も知らないのであった(ｽﾞｺｰｯ)

概要:コントラクトのガス消費を削減するためのTIPSと最適化ツールGasMetの紹介
脆弱性とは関係ないが、Botter目線ではおもしろなので読んだ。後半はアンケート調査とツール紹介なので目を通したのは前半部分だけ。
とはいえ、ガス削減効果のあるコードの書き方(e.g. 抽象化、ループで高価な計算は避ける、パブリック変数はコスト高い)など表にしてまとめてくれてるので、そこだけでも目を通しておくといいことあるかも

概要:ミューテーションテストのためのツールSuMoの紹介
Solidityのスマートコントラクト内のプログラムを、条件文の演算子や算術子を入れ替えたりして改変(変異)させて、その違いを検出してテストするためのツールらしい。SuMoの解説については正直何言ってるのかさっぱりだったが、最初の方はETH全般の基礎知識みたいなものも解説してくれてるので読んで損はない。

概要:トランザクショントレース用フレームワークHorusの紹介
Horusについては未リサーチ。他の記事でも出てくるようなら調べてみるか

概要:人間の視覚バイアスを利用した詐欺や悪意のあるコントラクトで資金を盗む手法の分析
コントラクトそのものが悪意のある人物によって作られているといった前提なので、脆弱性ではなく詐欺案件かと。だがやっていることはなかなか高度で、類似したEOAアドレスを提示しそこへ被害者からの送金を促すわけだが、当然そこへ送られてきても秘密鍵がわからないと回収できない。そこでスマコンを間に挟んで、自己破壊命令時に攻撃者の元へ送られてくるようにするみたいなことらしい。
他にも無害なこと(ロギング等)をやっているように見せかけて、その関数内で悪いことやっているなどあるようだが、大まかな流れは把握できても、個々の細かな"仕掛け"についてまでは理解が及ばない。

概要:悪名高いDAOハックの解説記事
イーサリアムクラシック誕生の契機となったハックだが、使用された再入可能攻撃は今日ではもはや教科書に載るレベルの基本と言っていいくらいには単純なもので、自分でも理解できた。かるでねさんのこちらの記事を読むことでより理解が深まるので必読

概要:XSURGEが13111BNBハックされた事案の解説

ずっとスワッププールだと思って読んでたので???だったが、途中でMint&Burnの担保型トークンであることに気付いてやっと理解できた。参照した方はコードが小さすぎて読めないので、こちらも併せて読むことを推奨。
Sellされた時に、発行している総SURGEから売却された枚数を差し引く(Burn)わけだが、その更新をする前にBNBを送ってしまっているので、fallback(再帰)で買われてしまう。その時の発行レートが総発行量*(入力BnB/金庫BnB)という計算式。
つまり買って売って買うと、1回目に買った時より多いSURGEが手に入る。これをループさせて膨れ上がらせ最後にまとめて売って、BNBローン返却

概要:流動性プールの基本的な概要と、ステーブルプールを用いた攻撃プランの説明
ステーブルプールは基本マルチトークン型だが、トークンがどちらかに偏った時にペナルティとしてスリッページが発生する仕様らしい。それをフラッシュローンを使ってExploitするみたいだが、脆弱性というよりはそもそもの仕様に欠陥があったような気はする。一時的に引き出し手数料が無料になったのがきっかけだったようで、個人的にはこれは合法だろうと思う。マルチ型のステーブルプール自体は多いので、読んでおく価値はある

概要:オラクルの概要と価格操作による事案、ソリューションの紹介
オラクルとは何ぞやといった説明。ここで取り上げられた事案の詳細は、下記記事へ。最初にこれを読んで大まかに雰囲気を掴んでおくと理解しやすい

概要:bZxで起こったオラクル攻撃事案の解説($100万規模)
上記記事で取り上げられた事案の分析。関連してエクスプロイトが2つ起こっている。1回目がbZx(たぶんPerpプロトコル)でETHを担保に5倍のBTCショートを打つ → プロトコルが内部でUniでスワップしてヘッジ用のWBTCを用意する→極大スリッページをプロトロコル側が負担 → フラッシュ&レンディングで借りておいたWBTCを売って得たETHを返却といった流れ。複雑そうに見えるが、やっていることはセルフフロントランニングの裁定取引みたいなもの。スリッページが大きいときの論理チェックにバグがあったよう。ETHを返却したあとも、借りたWBTCを返済できたらETHを回収できるというレンディング(Compound)のborrowが残るので、その回収のために2発目のオラクル攻撃へと繋がる。1つ目と2つ目が同一人物かは定かでないらしいが、まぁ一緒だろうと思う

概要:yEarnの価格設定アルゴリズムに欠陥のあったバグの解説
リリース直後に開発者自らバグに気付いた、であってるのかわからないが実際に被害があったわけではないよう。Balancerが発行する利回り用流動性トークン(BPT)に基づいて、yUSDCのレートが変動する。BPTを直接どうこうするわけではないのがミソ。以下流れ。
先にyUSDC買っておく → バランサーでUSDCをMUSDに大量交換する → 損失が出るが交換したMUSDをそっくりUSDCにまた戻せば多少の額で済む → だがMUSDへ交換した直後はBPTの価値が上がっており、yUSDCは良いレートでUSDCに戻せる → MUSDを買って売った時に出る損失よりもyUSDCを買って売った利益の方が大きいのでループさせれば錬金術ができるというバグ。自分で鞘を作って自分で埋めるんだけど、その間に違うところで影響が出るので利益が取れるというカラクリ。yUSDCとMUSDがそれぞれ違うものを参照して価格決定していることによる構造的な問題かな。

概要:リバランス型流動性プールの価格操作によって利鞘をとる分析レポート
流動性プールのharvest()を誰でも呼び出せたようで、これはリバランスで偏った方のトークンをスワップする処理が走るもの。呼び出す前に売っておいて、これを呼び出しさらに下がったところを余分に買い戻すというもの。難しいことは特にないかと

概要:バグハントに成功($80,000)した事案の分析レポート
allocate()関数が呼び出されることで、FEI/ETH価格が自動調整されるアルゴリズムだったらしいが、この価格調整のチェックをバイパスして価格操作できたよう。偽のコントラクトを用意し、借りたETHをUniswapプールに投入→FEI高騰→プロトコルの方でFEI買う→ダミーでallocate()を呼び出すとUniswapに基づいてプロトコルがFEIの値段を上げる(Burn)→買ってたのを売る→UniからETH回収、というのが大まかな流れっぽいが、最初にETH入れたプールとは異なるPCV(ETH)/FEIプールとかボンディングカーブ(参考)とか、シグモイド関数とか出てきて、ちゃんと理解するにはその辺りの実装とか見る必要がある雰囲気。またダミーコントラクトがどんな役割したのか不明。つまりナニモワカランムツカシイ

概要:上述のFei事案を再現するためのガイド
ETHのローカルフォーク作ってPoCコードを動かして実際にエクスプロイトできるかテストしてみよう！といった手順の解説。Githubにコントラクトのコードがなかったりした場合の代替手段。HardHatはEVMを触るときにちょいちょいテストで見るので、いずれEVMやるなら必読か。なお自分はしばらくRustで挑戦してみようと思っているので後回し

概要:オラクル価格フィードで好きな価格に操作されてしまった事案の分析レポート
オラクルを「最後に報告のあった価格」を基にフィードしていたため、勝手に価格を上げられて大量にトークンをborrowされたり、逆に価格を下げられてユーザーの清算を誘発されて清算狩りで担保を盗られたりした事案。他のレポートにも言えることだが、価格フィードのアップデートを行う部分のコード(脆弱性のあったところ)はあまりフォーカスされず、PoCの解説が成分として多めになっている。そのへんをもっと見たい。そこまであからさまに欠陥のあるコードではないだろうとは思うのだが、実際他のExploitでもお粗末なものはよく目にするのでこの事案はどうなのかというのは気になる点(ｼﾗﾍﾞﾅｲ)

概要:ブリッジの設計と実装
クロスチェーンブリッジする際の大まかな流れと、ゼロ知識証明について触れられているが、概要程度しか読み解けなかった。コード読んだ方が早そうだなというのが正直な感想。

概要:BNPとBSCのクロスチェーンブリッジへのハック
天下のBinance絡みの事案であり、ブリッジがそもそも他の実装よりも複雑なのもあって今の自分の段階では雰囲気しかつかめない。リレイヤーとかも使うらしく、まずはそのへんのブリッジについて造詣を深めないと正しく理解できなさそう。通常はマークルツリーを使うと思うのだが、こちらはIAVL検証という認証を用いていたようでここにバグがあった模様。マークルツリーもよく目にするので、いつか自分で実装して勉強する必要が出てくるだろう

概要:バグハント成功で$100万ドルの報酬が発生した事案の解説
weiをETHの桁に合わせる10の18乗をする時に、すでに引数でETHになってるのをさらに10の18乗しようとしたもんだからそりゃやばいよねって話。バグバウンティプログラム開始からわずか24時間で報告された。そりゃそうだろ。というかこんなんで$100万ドルもらえるんだから、報酬とハント難易度は必ずしも比例しないという良い例。あとCTO喜んでる場合やないだろ。タトゥーいれるとかツッコミどころありすぎる

概要:Pancakeの宝くじを当選番号を確認してから購入可能なバグ
抽選後はrequire()でちゃんと弾かれるけど、抽選中は弾かれないから宝くじを買えちゃうというものらしい。宝くじの仕様が定かでないので不確かなところはあるが、複数枚購入の関数と単独購入の関数とがあって、単独購入の方はチェックされてて複数枚のにはそれがないのだから、見比べたら簡単に見つけられそうなもの。なおImmunefiと提携してなかったらしく、間にエージェントとして入ってもらって報告したらしい。報酬は非公開

概要:NFTコントラクトの持つ初期化関数を誰でも呼び出せたバグ
コードは見当たらなかったが、initialize()のownerなりのチェックが抜けていたのだろうと思う。初期化して自分をそのコントラクトのオーナーしてしまえば、そのコントラクトをおもいのままにできてしまう。

概要:ウォレットに入っているLPトークンを勝手にトランスファーできるバグ
これもコントラクトのコードは確認していないが、transferFrom()というLPトークンのトランスファー機能を誰でも呼び出せたもよう。被害者はプロトコルからのLPトークンをApproveしているので、LPを持っているだけで被害に会う可能性があった。これも所有者のチェックが抜けていたのだと思われる。PoCのコードが読める。HardHat使えると便利そうだなと思った

概要:開発チーム用のロックトークンが期間を無視していつでも引き出せたバグ
誰でも引き出せるわけでなく、トークンをロックしている人間、つまり開発チーム関係者だけがこの脆弱性を利用できたよう。4回悪用された形跡があった点といい、修正が2か月近く保留された点といい、いやいや確信犯やろと勘ぐってしまうのは私だけでしょうか

概要:当選くじ1枚で255回当選金を受け取れるバグ
驚くことなかれ。上述のPancake宝くじ当選番号カンニングバグとは別件である。リンクは張ってないがWebサイトのインジェクションの脆弱性も報告されているので、Pancakeは既にImmunefiのお得意様である。バグ自体は当選くじで当選金を請求しても、請求済みにマークされてないので何回でも受け取れるという単純なもの。Pancakeのコードは自分も目にしたことがあり、あまり良い印象を受けなかったのでその感性は間違っていなかったということなのかもしれん

概要:勝手に他の人がApproveしたトークンをトランスファーできちゃうバグ
内部トラスファーモード(コントラクト内の残高を操作)と、外部トランスファーモード(Approveされているトークン)があり、後者を使用した際にトークンの送信者とTxの送信者が一致しない時のチェックと処理が抜けている、とコードを見るとそんな感じだった。Approveの仕様とかもよく分かってないし、なんならSolidityを1行も書いたことない(ｵｲ)ので、EVMに進出するときにもっと勉強しようと思いましたまる

概要:LPのリワード請求時に重複請求のチェックが抜けていてリワードを水増しできたバグ
マークルツリーを使って請求権のプルーフをチェック、Bitmapに請求済みを記録という流れだが、複数の請求を処理する際にloopで配列を処理する。配列の処理が終わるまで請求済みの処理をバイパスできるので、同じ配列に同じ請求を入れたら多重受理できちゃうよねといった感じ。
マークルツリーのデータ構造はこの記事に出てくる図が、これまで見た中では最も分かりやすかった。ひとつひとつの処理までは追って読んでないが、まぁこーゆーのは必要になった時にまたじっくり時間をかけて読めばいいと思って流し読んだ

概要:ビーコンプロキシに偽コントラクトのアドレスを伝えて破壊するバグ
アップグレードなどでプロキシコントラクトを使うわけだが、このビーコンコントラクトが初期化されておらず、誰でも呼び出せたよう。新しいコントラクトと装ってそのアドレスを渡し、自己破壊命令を出して中のDAI等をGOXさせることができたようだ。プロキシコントラクトが絡んだハックはよく出てくるので(Nomad事案など)、仕様などまで深く掘り下げた記事を読みたい。現時点では理解が浅いので、今後の課題