スマートコントラクトは一度デプロイすると変更できないという不変性を持っており、コードにバグや脆弱性があると取り返しのつかない損失につながります。2016年のThe DAO攻撃(約60万ETH流出)、2021年のPolyNetwork攻撃(約6億ドル相当)、2022年のWormholeブリッジ攻撃(約3.2億ドル相当)など、DeFiの歴史は脆弱性による大規模ハッキングの歴史でもあります。
本記事では、スマートコントラクト開発者が必ず知っておくべきセキュリティ脆弱性を10のカテゴリに分けて解説します。それぞれについて「攻撃の仕組み」「実際の事例」「具体的な対策」をセットで紹介します。
セキュリティへの理解は、開発者として最も基礎的で重要なスキルです。攻撃パターンを知ることが、安全なコードを書くための第一歩です。
1. 再入攻撃(Reentrancy Attack)
攻撃の仕組みと実例
再入攻撃は、外部コントラクトへのETH送金中に攻撃者のコントラクトが送金元の関数を再帰的に呼び出すことで、残高を不正に引き出す手法です。2016年のThe DAO攻撃の原因がこれであり、DAO内のwithdraw関数が残高を更新する前にETHを送金していたため、攻撃コントラクトのfallback関数が繰り返し呼び出されました。
// 脆弱なコード
function withdraw(uint256 amount) external {
require(balances[msg.sender] >= amount);
(bool success,) = msg.sender.call{value: amount}(""); // 先に送金
require(success);
balances[msg.sender] -= amount; // 残高更新が後
// 安全なコード(Checks-Effects-Interactions)
function withdraw(uint256 amount) external nonReentrant {
require(balances[msg.sender] >= amount, "Insufficient");
balances[msg.sender] -= amount; // 先に状態を更新
(bool success,) = msg.sender.call{value: amount}("");
require(success, "Transfer failed");
}対策は「Checks-Effects-Interactions」パターンとOpenZeppelinのReentrancyGuard(nonReentrant)です。両方を組み合わせることがより安全です。
クロスファンクション再入攻撃
単純な再入攻撃だけでなく、同一コントラクト内の複数の関数をまたぐクロスファンクション再入攻撃も存在します。例えば、withdraw関数の実行中にtransfer関数を呼ばれると、残高が更新される前に別の操作が行われる可能性があります。nonReentrant修飾子は同一コントラクト内のすべてのnonReentrant関数をロックするため、このケースにも有効です。
また、プロキシパターンを使ったコントラクトでは、ストレージの共有によってより複雑な再入のパスが生まれる場合があります。アップグレード可能なコントラクトの設計では特に注意が必要です。
2. 整数オーバーフローとアンダーフロー
0.8以前の脆弱性
Solidity 0.8以前では、uint8の変数に256を加算すると0に戻る(オーバーフロー)、uint型の変数から大きな値を引くと非常に大きな正の数になる(アンダーフロー)という問題がありました。2018年のBeautyChainトークン攻撃では、batchTransferのオーバーフローを利用して無限大のトークンを転送し、価格を暴落させました。
Solidity 0.8以降はデフォルトでチェックが入りますが、uncheckedブロック内では0.8以前と同じ挙動になります。ガス最適化のためにuncheckedを使う場合は、オーバーフローが起きないことを数学的に保証できる場合のみに限定してください。
固定小数点数と精度の問題
Solidityは浮動小数点数をサポートしていないため、金額の計算では整数演算に注意が必要です。除算は切り捨てが発生するため、乗算を先に行ってから除算するという順序が重要です。(a * b) / cという順序ではなく、a / c * bとすると精度が失われる可能性があります。
DeFiプロトコルでは1e18(10の18乗)を単位として扱うことが多く、WAD(1e18)やRAY(1e27)などの固定小数点ライブラリを使うことで精度の問題を軽減できます。DSMathやPRBMathといったライブラリが参考になります。
3. アクセス制御の不備
ownershipの管理ミス
複数のDeFiプロトコルでのハッキングは、アクセス制御の不備が原因でした。管理者権限の関数にonlyOwner等のmodifierを付け忘れる、あるいは初期化関数(initialize)が誰でも呼べる状態になっているといったミスが典型例です。
// 危険な例:initializeが誰でも呼べる
function initialize(address _owner) external {
owner = _owner;
}
// 安全な例
bool private initialized;
function initialize(address _owner) external {
require(!initialized, "Already initialized");
initialized = true;
owner = _owner;
}OpenZeppelinのInitializableコントラクトとinitializerモディファイアを使うことで、初期化関数の二重実行を安全に防げます。
tx.originを使ったフィッシング
tx.originはトランザクションの最初の送信者(EOA)を返しますが、アクセス制御にtx.originを使うことは危険です。中間コントラクトを経由した呼び出しでも同じtx.originが返るため、フィッシングコントラクトに騙されて意図せず認証が通ってしまう可能性があります。アクセス制御にはmsg.senderを使うことが必須です。
4. フロントランニング
ミームプールとトランザクション順序の操作
フロントランニングは、ミームプール(未確認トランザクションのキュー)に公開されたトランザクションを観察し、より高いガスを設定して先に実行させる手法です。DEXのスワップでは、大きなスワップのトランザクションが検出されると攻撃者が先にトークンを買って価格を吊り上げ、スワップ後に売るというサンドイッチ攻撃が行われます。
対策としては、スリッページ許容範囲を小さく設定すること、コミット・リビールスキームの使用、Flashbots MEV-Protectのようなプライベートトランザクションサービスの利用などがあります。完全な対策は困難ですが、slippageの設定によって被害を最小化できます。
サンドイッチ攻撃の仕組み
サンドイッチ攻撃の手順は次のとおりです。①攻撃者が被害者のスワップTxをミームプールで検出する。②より高いガスで同一トークンを先買いする。③被害者のTxが実行され、価格が上昇する。④攻撃者が買ったトークンを売り抜ける。被害者はスリッページが大きくなり、想定より悪いレートでスワップが成立します。
UniswapやPancakeSwapなどのDEXにはslippage toleranceの設定があります。デフォルトの0.5%や1%は許容範囲が広すぎる場合があり、特に流動性が薄いペアでは注意が必要です。トランザクションのdeadlineパラメータを短く設定することも有効です。
5. フラッシュローン攻撃
フラッシュローンとは何か
フラッシュローンとは、同一トランザクション内で返済することを条件に担保なしで大量の資金を借りられるDeFiの仕組みです。Aaveなどが提供しており、裁定取引や流動性の提供に使われます。しかし、この仕組みを悪用して一時的に巨額の資産を持ち込み、プロトコルの価格計算や投票メカニズムを操作する攻撃に使われることがあります。
2020年のbZxプロトコル攻撃(約100万ドル)や2022年のMango Markets攻撃(約1.1億ドル)がフラッシュローンと価格操作を組み合わせた事例として知られています。価格フィードにオンチェーンのスポット価格を直接使うプロトコルは特に脆弱です。
オラクル操作への対策
フラッシュローン攻撃の多くはオラクル(価格フィード)の操作を伴います。単一のDEXスポット価格をオラクルとして使うと、一時的な価格操作が可能になります。ChainlinkのようなオフチェーンオラクルやUniswap V3のTWAP(時間加重平均価格)を使うことで、フラッシュローンによる瞬間的な価格操作に対して耐性が増します。
TWAPの算出期間を長く設定するほど操作に必要なコストが高くなりますが、価格追従の遅延も増します。セキュリティと応答性のトレードオフを考慮してパラメータを設定することが重要です。
6. タイムスタンプ依存と疑似乱数の問題
block.timestampの操作可能性
block.timestampはバリデーターによって数秒程度の範囲で操作できます。タイムスタンプに依存した重要なロジック(ゲームの当選判定・ロック解除条件)には注意が必要です。一般的に「15秒程度の誤差を許容できるケース」にのみ使うことが推奨されます。
バリデーターがタイムスタンプを意図的に操作することでゲームの勝利確率を高めるといった攻撃が理論上可能です。PoS移行後はPBFT系のコンセンサスにより操作の余地が縮小されていますが、依然として注意が必要な領域です。
疑似乱数の安全な実装
Solidityではtrue randomを生成することはできません。block.hashやblock.timestampを種に使ったkeccak256はオンチェーンで予測可能であり、安全な乱数源にはなりません。NFTのランダムな特性付与やくじ引き・ゲームの当選判定には、ChainlinkのVRF(検証可能なランダム関数)を使うことが標準的な対策です。
VRFはオフチェーンで生成した乱数をオンチェーンで暗号学的に証明する仕組みであり、改ざん不可能な乱数を提供します。サブスクリプション費用(LINK)が必要ですが、公平性が重要なアプリケーションには必須の実装です。
7. DoS攻撃(ガスリミット超過)
配列ループによるDoS
コントラクト内で要素数が増え続ける配列をループ処理すると、将来的にガスリミットを超えてトランザクションが失敗するDoS状態になることがあります。報酬分配を全受益者への一括送金で実装していた場合、受益者数が増えすぎると関数が実行不能になるというパターンが典型例です。
対策としては「プッシュ型」から「プル型」への設計変更が有効です。コントラクト側から一括配布するのではなく、各ユーザーが自分で報酬を引き出す(claim)方式にすることでループを分散させます。これはイーサリアム上での報酬分配の標準的なパターンです。
Unexpected ETH Receiptによる攻撃
コントラクトのETH残高を前提にしたロジックは、selfdestruct等で強制的にETHを送り込まれることで崩壊する可能性があります。address(this).balanceが特定の値と一致することを条件にするような実装は避けるべきです。ETH残高ではなく、明示的に管理された変数で残高を追跡することが安全です。
8. プロキシパターンとストレージの衝突
アップグレード可能なコントラクトのリスク
プロキシパターン(Transparent Proxy・UUPS)はコントラクトをアップグレード可能にする手法ですが、実装コントラクトとプロキシのストレージレイアウトが衝突すると予期しない動作が起きます。例えば、プロキシのアドレス変数がimplementation側のuint256変数と同じスロットを使うと、アドレスが破壊される可能性があります。
EIP-1967では、プロキシが使うストレージスロットをkeccak256ベースのランダムなスロット番号に定めることで衝突を防いでいます。OpenZeppelinのTransparent/UUPSプロキシはEIP-1967に準拠しています。アップグレード時には新旧の実装コントラクトのストレージレイアウトの互換性を必ず確認してください。
initializer関数の二重呼び出し対策
アップグレード可能なコントラクトではconstructorの代わりにinitialize関数を使いますが、これが二重に呼ばれると状態が上書きされます。OpenZeppelinのInitializableと@initializer/@reinitializerデコレーターを使うことで二重初期化を防げます。また、implementation単体のinitializeも無効化するため、_disableInitializers()をimplementationのconstructorで呼ぶことが推奨されます。
9. 署名の再利用攻撃(Replay Attack)
チェーンIDとnonceの重要性
署名ベースの認証(EIP-712メタトランザクションなど)でチェーンIDやnonceを含めないと、同じ署名を別のチェーンや再度使われる(リプレイ攻撃)リスクがあります。EIP-712はドメインセパレーターにchainId・contractAddress・versionを含むことを規定しており、これに準拠することで署名の再利用を防げます。
また、一度使った署名を無効化するためのnonceマッピング(mapping(address => uint256) nonces)の管理が重要です。ERC-2612のpermit実装では各アカウントのnonceを自動管理しており、正しい実装の参考になります。
10. 依存ライブラリのセキュリティリスク
サプライチェーン攻撃への対応
スマートコントラクト開発ではnpmパッケージやGitHubからライブラリをインポートすることが多くありますが、サプライチェーン攻撃のリスクがあります。ライブラリに悪意ある変更が加えられても、インポート側が気づかない場合があります。使用するライブラリのバージョンを固定し、コントラクトのコードをローカルにコピーして管理する(ベンダリング)ことがセキュリティの観点から推奨されます。
Remixでhttps://github.com/…のパスを直接インポートすると最新のコミットが使われるため、予期しない変更が含まれる可能性があります。本番開発ではnpmのバージョン固定またはGitのコミットハッシュを指定してインポートすることが安全です。
セキュリティツールの活用
Slitherはスマートコントラクトの静的解析ツールです。再入攻撃・未チェックの戻り値・アクセス制御の不備など多くのパターンを自動検出できます。Mythrilはシンボリック実行エンジンを使ったセキュリティ分析ツールです。Echidnaはプロパティベースのファジングツールで、不変条件の違反を自動探索します。本番デプロイ前にこれらのツールを使った静的解析を実施することを強く推奨します。
まとめ
本記事では、スマートコントラクトの代表的なセキュリティ脆弱性を10のカテゴリに分けて解説しました。再入攻撃・アクセス制御の不備・フラッシュローン攻撃・署名の再利用など、実際のハッキング事例を参照することで具体的なリスクのイメージを持てたのではないでしょうか。
セキュリティへの取り組みはコードを書く前から始まります。設計段階でのセキュリティレビュー、Checks-Effects-Interactionsパターンの徹底、OpenZeppelinライブラリの活用、静的解析ツールの使用、そしてプロフェッショナルなセキュリティ監査の実施が、安全なスマートコントラクト開発の基本姿勢です。
よくある質問
セキュリティ監査はどのくらいの費用がかかりますか?
セキュリティ監査の費用はコントラクトの複雑さと監査会社によって大きく異なります。Trail of Bits・OpenZeppelin・CertiKなど有名な監査会社では小規模なコントラクトで数百万円から、大規模なDeFiプロトコルで数千万円以上になることもあります。予算が限られている場合は、ImmuneFiのバグバウンティプログラムを活用する方法もあります。
Slitherは無料で使えますか?
Slitherはオープンソースで無料で使えます。pip install slitherでインストールでき、slither .でプロジェクト全体の解析が実行されます。HardhatやFoundryとの統合もサポートされており、CI/CDパイプラインに組み込むことで継続的なセキュリティチェックが可能です。ただし、Slitherは自動検出が難しいロジックの脆弱性については検出できません。
バグバウンティプログラムへの参加方法は?
ImmuneFiというバグバウンティプラットフォームがスマートコントラクトのセキュリティ研究者に人気です。プロトコル側は報奨金を設定してプログラムを掲載し、セキュリティ研究者は脆弱性を発見・報告することで報奨金を受け取れます。EthernautのようなCTF(Capture The Flag)で練習してからバグバウンティに挑戦するというルートもよく取られています。
※本記事は情報提供を目的としており、投資を推奨するものではありません。暗号資産への投資は元本割れのリスクがあります。投資判断はご自身の責任で行ってください。
