-
bitcoin $87959.907984 USD
1.34% - ethereum
$2920.497338 USD
3.04% - tether
$0.999775 USD
0.00% - xrp
$2.237324 USD
8.12% - bnb
$860.243768 USD
0.90% - solana
$138.089498 USD
5.43% - usd-coin
$0.999807 USD
0.01% - tron
$0.272801 USD
-1.53% - dogecoin
$0.150904 USD
2.96% - cardano
$0.421635 USD
1.97% - hyperliquid
$32.152445 USD
2.23% - bitcoin-cash
$533.301069 USD
-1.94% - chainlink
$12.953417 USD
2.68% - unus-sed-leo
$9.535951 USD
0.73% - zcash
$521.483386 USD
-2.87%
スマートコントラクトにおけるリエントラント攻撃とは何ですか?
Reentrancy attacks exploit Ethereum’s external call mechanism, allowing malicious contracts to recursively drain funds before state updates—famously enabling The DAO hack.
2025/12/24 02:20
リエントラント攻撃について
1. リエントラント攻撃は、最初の実行が完了する前に、悪意のあるコントラクトが別のコントラクトの脆弱な機能を繰り返しコールバックするときに発生します。
2. このエクスプロイトは、状態の変更が完了する前に制御が外部アドレスに転送される、イーサリアム スマート コントラクトの外部呼び出しメカニズムを利用します。
3. 攻撃者は、ターゲットの出金または転送ロジックの再帰的呼び出しをトリガーするフォールバックまたは受信関数を含むコントラクトを展開します。
4. Ethereum はシングルスレッドの同期方式で呼び出しを実行し、デフォルトではアトミックな状態の更新を強制しないため、残高やフラグはコールバック ウィンドウ中に変更されないままになる可能性があります。
5. その結果、適切なチェックなしで資金が同じ残高から複数回流出する可能性があり、システムの意図された経済的不変条件に違反します。
有名な歴史的例: DAO ハック
1. 2016 年 6 月、DAO として知られる分散型自律組織が、当時の価値で 5,000 万ドル以上に相当する約360 万 ETHで侵害されました。
2. この脆弱性は、提案が可決された後にユーザーが自分の株式を引き出すことを可能にする分割機能に存在していましたが、資金を送金した後に寄稿者の残高を更新していました。
3. 攻撃者は、残高更新が行われる前に分割関数を再帰的に呼び出すフォールバック関数を含むコントラクトをデプロイしました。
4. 各再帰呼び出しにより元の残高値が読み取られ、同じ割り当て金額から繰り返し引き出すことが可能になります。
5. この事件はイーサリアム ブロックチェーンのハード フォークを引き起こし、その結果イーサリアムとイーサリアム クラシックが 2 つの別個のチェーンとして誕生しました。
リエントラントを可能にする技術的条件
1. 信頼できないアドレスへの外部呼び出しは、残高の更新やアクセス フラグの切り替えなどの重大な状態変更の前に行う必要があります。
2. コントラクトは、再入保護を強制することなく、所有権または資格を反映する変更可能なストレージ変数に依存する必要があります。
3. ロックされたブール値または再入可能修飾子の使用など、ミューテックス パターンが存在しない場合、ネストされた呼び出しコンテキスト全体でエントリ ポイントが保護されないままになります。
4. transfer()やsend()のようなより安全な代替手段の代わりにcall()のような低レベルの呼び出しを使用すると、ガス給付制限の欠如と自動復帰動作によりリスクが増加します。
5. 古いライブラリまたは未監査のライブラリから継承したコントラクトにより、継承された再入可能サーフェスを持つ関数が意図せず公開される可能性があります。
現在展開されている緩和戦略
1. Checks-Effects-Interactions パターンでは、条件の検証、内部状態の更新、その後でのみ外部呼び出しの実行が義務付けられます。
2. OpenZeppelin のReentrancyGuardなどのリエントランシー ガードは、ロックされたブール値を使用して、アクティブな実行中の関数の再入力を防ぎます。
3. raw call()の代わりにtransfer()またはsend()を使用すると、2300 ガスの制限が適用され、フォールバック関数はさらなる再入可能な呼び出しを含む複雑なロジックを実行できなくなります。
4. Slither や MythX などの静的分析ツールは、開発および CI パイプライン中に潜在的なリエントランシー ベクトルを検出します。
5. Certora や KEVM などの形式的検証フレームワークは、ネストされた外部呼び出しを含む、任意の呼び出しシーケンスの下でコントラクトの不変条件を検証します。
よくある質問
Q1.リエントランシー攻撃はイーサリアム以外のブロックチェーンでも発生する可能性がありますか? A1.はい。 BNB チェーン、ポリゴン、アービトラムを含む EVM 互換チェーンは、コントラクトが同じ欠陥のある対話パターンを複製する場合、同様に影響を受けます。特定の条件下での Solana のプログラム間呼び出しなど、同様の外部呼び出しセマンティクスを持つ非 EVM チェーンも同様のリスクに直面します。
Q2. require() ステートメントの使用は再入を防ぐのに十分ですか? A2.いいえ。Require ステートメントは前提条件を検証しますが、再エントリをブロックしません。これらは状態が変化する前に動作し、外部呼び出しが発生すると後続のコールバックを制限できません。
Q3.プロキシベースのアップグレード可能な契約では、追加の再入可能サーフェスが導入されますか? A3.はい。実装コントラクトに再入保護が欠如しており、プロキシが通話の深さを傍受または検証せずに通話を転送する場合、アップグレード可能なパターンが既存の脆弱性を継承または増幅する可能性があります。
Q4.悪意のある契約がなくても、フラッシュ ローンはリエントラントを引き起こす可能性がありますか? A4.はい。フラッシュ ローンを利用した攻撃は、dYdX、Harvest Finance、BurgerSwap に対するエクスプロイトに見られるように、価格オラクル操作とリエントランシーを組み合わせて流動性プールや融資プロトコルを枯渇させることが多く、すべてクリティカル パス内の無防備な外部呼び出しに依存しています。
免責事項:info@kdj.com
提供される情報は取引に関するアドバイスではありません。 kdj.com は、この記事で提供される情報に基づいて行われた投資に対して一切の責任を負いません。暗号通貨は変動性が高いため、十分な調査を行った上で慎重に投資することを強くお勧めします。
このウェブサイトで使用されているコンテンツが著作権を侵害していると思われる場合は、直ちに当社 (info@kdj.com) までご連絡ください。速やかに削除させていただきます。
- Coinbase と Crypto ISAC がアライアンスを構築し、デジタル資産の世界におけるセキュリティ インテリジェンスの新たな基準を設定
- 2026-01-31 04:35:01
- 米国造幣局、2026年サカガウィアコインで革命戦争の英雄ポリー・クーパーを讃える
- 2026-01-31 03:55:01
- リスクオフ売りの熱狂の中でビットコインは8万3000ドルに達し、ETFからは大規模な資金流出が見られる
- 2026-01-31 04:35:01
- 新しい2026ドル硬貨はオナイダのヒロイン、ポリー・クーパーとアメリカの最初の同盟国に光を当てる
- 2026-01-31 04:15:01
- ポリー・クーパー、オナイダ・ウーマン、革命戦争の英雄的行為を讃え、2026 年 1 ドル硬貨を受賞
- 2026-01-31 04:25:01
- オナイダのヒロイン、ポリー・クーパーが新 1 ドル硬貨で不滅に: 革命的な寛大さへの長年の賛辞
- 2026-01-31 04:25:01
関連知識
暗号通貨とブロックチェーン技術の将来はどうなるでしょうか?
2026-01-11 21:19:34
分散型金融の進化1. DeFiプロトコルは、単純な貸し借りを超えて、仕組み商品、保険メカニズム、デリバティブ取引を含むように拡大しました。 2. スマート コントラクトの監査はより厳格になり、主要なプロトコルの立ち上げでは複数の企業による検証プロセスが標準になりました。 3. クロスチェーン相互運用...
サトシ・ナカモトとは誰ですか? (Bitcoinの作成者)
2026-01-12 07:00:05
ペンネームの由来1. サトシ・ナカモトは、Bitcoin を開発し、オリジナルのホワイトペーパーを執筆し、最初の実装を設計および展開した個人またはグループによって使用される名前です。 2. この名前が初めて登場したのは、2008 年に「Bitcoin: ピアツーピア電子キャッシュ システム」というタ...
暗号エアドロップとは何ですか?またその入手方法は何ですか?
2026-01-22 14:39:35
暗号エアドロップを理解する1. 暗号エアドロップは、複数のウォレットアドレスに無料のトークンまたはコインを配布することであり、通常、認知度を高め、初期のサポーターに報酬を与え、トークン所有権を分散させるためにブロックチェーンプロジェクトによって開始されます。 2. これらの配布は前払い費用なしで行う...
DeFiにおける永久損失とは何ですか?またそれを回避する方法は何ですか?
2026-01-13 11:59:34
永久損失を理解する1. 永久損失は、自動マーケットメーカー (AMM) の流動性プールに預けられたトークンの価値が、外部で保有されていた場合の価値と乖離した場合に発生します。 2. この現象は、ほとんどの AMM で使用される一定の積式が原因で発生します。プール内のトークン価格の比率は、外部市場価格...
異なるブロックチェーン間で暗号資産を橋渡しするにはどうすればよいでしょうか?
2026-01-14 18:19:42
クロスチェーンブリッジのメカニズム1. アトミック スワップにより、公平性とファイナリティを保証するハッシュ タイムロック契約に依存し、仲介者を介さずに 2 つのブロックチェーン間で資産を直接ピアツーピア交換できるようになります。 2. 信頼できるブリッジは、宛先チェーン上でユーザーのデポジットとミ...
ホワイトペーパーとは何ですか? ホワイトペーパーの読み方は何ですか?
2026-01-12 07:19:48
ホワイトペーパーの構造を理解する1. 暗号通貨分野のホワイトペーパーは、ブロックチェーン プロジェクトの目的、アーキテクチャ、仕組みを概説する基礎的な技術的および概念的な文書として機能します。 2. 通常、プロジェクトが解決しようとしている問題と提案された解決策を紹介する要約または要旨で始まります。...
暗号通貨とブロックチェーン技術の将来はどうなるでしょうか?
2026-01-11 21:19:34
分散型金融の進化1. DeFiプロトコルは、単純な貸し借りを超えて、仕組み商品、保険メカニズム、デリバティブ取引を含むように拡大しました。 2. スマート コントラクトの監査はより厳格になり、主要なプロトコルの立ち上げでは複数の企業による検証プロセスが標準になりました。 3. クロスチェーン相互運用...
サトシ・ナカモトとは誰ですか? (Bitcoinの作成者)
2026-01-12 07:00:05
ペンネームの由来1. サトシ・ナカモトは、Bitcoin を開発し、オリジナルのホワイトペーパーを執筆し、最初の実装を設計および展開した個人またはグループによって使用される名前です。 2. この名前が初めて登場したのは、2008 年に「Bitcoin: ピアツーピア電子キャッシュ システム」というタ...
暗号エアドロップとは何ですか?またその入手方法は何ですか?
2026-01-22 14:39:35
暗号エアドロップを理解する1. 暗号エアドロップは、複数のウォレットアドレスに無料のトークンまたはコインを配布することであり、通常、認知度を高め、初期のサポーターに報酬を与え、トークン所有権を分散させるためにブロックチェーンプロジェクトによって開始されます。 2. これらの配布は前払い費用なしで行う...
DeFiにおける永久損失とは何ですか?またそれを回避する方法は何ですか?
2026-01-13 11:59:34
永久損失を理解する1. 永久損失は、自動マーケットメーカー (AMM) の流動性プールに預けられたトークンの価値が、外部で保有されていた場合の価値と乖離した場合に発生します。 2. この現象は、ほとんどの AMM で使用される一定の積式が原因で発生します。プール内のトークン価格の比率は、外部市場価格...
異なるブロックチェーン間で暗号資産を橋渡しするにはどうすればよいでしょうか?
2026-01-14 18:19:42
クロスチェーンブリッジのメカニズム1. アトミック スワップにより、公平性とファイナリティを保証するハッシュ タイムロック契約に依存し、仲介者を介さずに 2 つのブロックチェーン間で資産を直接ピアツーピア交換できるようになります。 2. 信頼できるブリッジは、宛先チェーン上でユーザーのデポジットとミ...
ホワイトペーパーとは何ですか? ホワイトペーパーの読み方は何ですか?
2026-01-12 07:19:48
ホワイトペーパーの構造を理解する1. 暗号通貨分野のホワイトペーパーは、ブロックチェーン プロジェクトの目的、アーキテクチャ、仕組みを概説する基礎的な技術的および概念的な文書として機能します。 2. 通常、プロジェクトが解決しようとしている問題と提案された解決策を紹介する要約または要旨で始まります。...
すべての記事を見る
