出典: Securelist – https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/
原題: Deep analysis of the flaw in BetterBank reward logic
BetterBankの報酬ロジック欠陥による500万ドル損失の分析
2025年8月末、PulseChain上のDeFiプロトコル「BetterBank」が報酬システムの設計ミスを突かれ、約500万ドル相当の資産流出という大規模な攻撃を受けました。本記事では攻撃の概要、技術的な詳細、影響、そして今後の対策について解説します。
主要なポイント
- 攻撃の発生と被害額:2025年8月26日から27日にかけて、BetterBankは流動性操作と報酬トークンの不正発行により約500万ドルの資産を失いました。
- 攻撃者との交渉による資産返還:オンチェーンでの交渉により約270万ドルが返還され、最終的な純損失は約140万ドルにまで軽減されました。
- 設計上の欠陥:報酬システムのswapExactTokensForFavorAndTrackBonus関数が、流動性プールの正当性を検証しなかったことが攻撃の根源でした。
- 監査指摘の軽視:Zokyo社による事前のセキュリティ監査で脆弱性が指摘されていたにもかかわらず、コミュニケーション不足とリスク評価の低さから修正が不十分でした。
技術的な詳細と背景
BetterBankはFAVOR(主要トークン)とESTEEM(報酬トークン)の2トークンシステムを採用しています。報酬トークンESTEEMは、swapExactTokensForFavorAndTrackBonus関数を通じてFAVORトークンのスワップ時にミントされますが、この関数はスワップ元の流動性プールが正当なものかどうかを検証していませんでした。
攻撃者はこの設計上の欠陥を突き、偽の流動性プールを作成。これにより無限にESTEEMを発行し、FAVORに変換して資産を枯渇させました。さらに、売却税(sell tax)機能は正当なマーケットペアにのみ適用され、偽の流動性プールはこの税を回避できたため、攻撃が容易になりました。
攻撃はflash loan(フラッシュローン)を利用し、まずリアルな流動性プールを枯渇させた後、偽トークンとPDAIFの偽流動性プールを作成して実行されました。フラッシュローンは担保なしで大量の資金を一時的に借りることができる仕組みで、DeFi攻撃に多用される高度な手法です。
影響と重要性
- ユーザーと流動性提供者への影響:BetterBankの利用者は資産の一部を失い、流動性提供者の信頼も損なわれました。
- PulseChainエコシステム全体への波及:PulseChain上のDeFiプロトコルの安全性や信頼性に対する懸念が高まりました。
- DeFi設計・運用チームへの警鐘:設計レベルの検証不足や監査指摘の軽視が大規模な損失につながることを示す典型例となりました。
推奨される対策
- 報酬システムにおいて、流動性プールや取引ペアの正当性を厳格に検証する仕組みを導入すること。
- セキュリティ監査で指摘された脆弱性は軽視せず、関係者間で密なコミュニケーションを取り確実に修正を行うこと。
- ホワイトリスト管理や取引検証、売却税の適用範囲拡大など、多層的なセキュリティ対策を強化すること。
- flash loanなどの高度な攻撃手法に対する防御策を検討・実装すること。
まとめ
BetterBankの事件は、DeFiプロトコルにおける設計上の見落としと組織的対応不足が大規模な経済的損失を招く典型例です。攻撃後の迅速な対応や攻撃者との交渉による資産返還は稀なケースであり、今後のプロトコル設計や運用において貴重な教訓となります。オンチェーンフォレンジック解析の進展により、さらなる安全性向上が期待されます。
DeFi利用者や開発者は、本事件を踏まえたセキュリティ意識の向上と設計の厳密化を強く求められています。
参照元: https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/
