パルスチェーン上BetterBankの報酬ロジック脆弱性と500万ドル損失の解析

出典: Securelist – https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/

原題: Deep analysis of the flaw in BetterBank reward logic

PulseChain上のDeFiプロトコル「BetterBank」の報酬ロジック脆弱性と500万ドル損失の分析

2025年8月末、PulseChainネットワーク上のDeFiプロトコル「BetterBank」が高度な攻撃を受け、約500万ドル相当の資産が流出しました。本記事では、攻撃の背景にある報酬ロジックの脆弱性や技術的詳細、影響、そして今後の対策について解説します。

主要なポイント

• 攻撃の概要と被害額：2025年8月26日～27日にBetterBankが攻撃され、約500万ドル相当の資産が流出。攻撃者は約270万ドルを返還し、最終的な純損失は約140万ドルに抑えられた。
• 脆弱性の原因：報酬システムの設計ミス、特にswapExactTokensForFavorAndTrackBonus関数における流動性プールの正当性検証不足が攻撃の起点となった。
• 攻撃手法：偽の流動性プールを作成し、報酬トークン「ESTEEM」を無制限に発行。さらにフラッシュローンを駆使し、複数段階で資産を枯渇させた。
• 監査の指摘と対応不足：事前にZokyo社の監査で同様の脆弱性が指摘されていたが、修正が不十分であった。
• 攻撃後の資金隠蔽：盗難資産の一部はイーサリアムメインネットにブリッジされ、クリプトミキサーを使って資金の追跡を困難にした。

技術的な詳細と背景情報

本攻撃の核心は、BetterBankの報酬発行関数である swapExactTokensForFavorAndTrackBonus における流動性プール（LPペア）の正当性検証が欠如していた点にあります。具体的には、関数内でスワップ元のLPが正規のものかどうかをチェックしておらず、攻撃者はこれを悪用して偽の流動性プールを作成しました。

また、logBuy関数は呼び出し元の買いラッパーの承認のみを確認し、LPの正当性は検証していませんでした。これにより、偽のLPを使った取引が売却税のホワイトリストから外れ、課税回避が可能となりました。

報酬トークン「ESTEEM」は「FAVOR」トークンに変換可能で、報酬発行の再帰的ループを形成。これにより無限にトークンを生成できる状態となり、攻撃者は大量のESTEEMを発行しました。さらに、PulseXのDEXは許可不要である特性を利用し、偽トークンと偽LPの組み合わせで攻撃を成立させました。

攻撃者は複雑なフラッシュローンコールバック機能を持つヘルパーコントラクトを動的に展開し、多段階のオンチェーン操作でプロトコルの資産を枯渇させました。フラッシュローンとは、担保なしで大量の資金を一時的に借り入れ、同一トランザクション内で返済する仕組みで、DeFi攻撃で多用される技術です。

影響と重要性

• プロトコルとユーザー資産への影響：BetterBankの流動性プールや報酬システムが直接的に被害を受け、多数のトークン（DAI、PLSX、WPLSなど）が盗難に遭いました。
• PulseChainエコシステムの信頼性低下：本事件はPulseChain上のDeFi全体のセキュリティ信頼性に疑問を投げかけ、ユーザー離れや資金流出のリスクを高めました。
• 監査と開発体制の課題：事前監査で指摘された脆弱性が軽視されたことは、セキュリティ監査の信頼性とプロトコル開発チームの対応体制の見直しを促す重要な教訓となりました。
• マネーロンダリング対策の必要性：攻撃後に盗難資金がイーサリアムメインネットにブリッジされ、クリプトミキサーを使って追跡困難となったことから、資金洗浄防止の強化が求められます。

推奨される対策

1. 流動性プールの正当性検証の実装：報酬発行や取引関数でLPペアの真正性を必ず確認し、不正なLPを排除する。
2. 売却税の適用範囲拡大：ホワイトリスト外の取引ペアにも売却税を適用し、課税回避を防止する。
3. 報酬発行のレート制限：ユーザーごとに日次の報酬上限を設け、大量一括発行を防ぐ。
4. 多層的なセキュリティ監査とコミュニケーション強化：監査指摘を軽視せず、推奨修正を完全に実装する体制を構築する。
5. オンチェーンフォレンジクスの強化：ブロックエクスプローラーの整備や透明性向上により、不正操作の早期発見と追跡を可能にする。

まとめ

BetterBankの報酬ロジック脆弱性による500万ドル規模の資産流出事件は、DeFiプロトコル設計における基本的な検証不足が甚大な被害を招く典型例です。特に、流動性プールの正当性確認や報酬発行の制御が不十分であったことが攻撃成功の鍵となりました。今後は、セキュリティ監査の指摘を真摯に受け止め、包括的な対策を講じることがPulseChainをはじめとするDeFiエコシステムの信頼回復に不可欠です。また、攻撃後の資金追跡困難化はマネーロンダリング対策の重要性も示しており、技術的・運用的な多角的アプローチが求められます。