# Jarvis Network プロジェクトがフラッシュローン再入攻撃を受けた分析最近、Jarvis Networkプロジェクトへの攻撃が業界の注目を集めています。 オンチェーンデータモニタリングによると、攻撃は2023年1月15日に発生し、プロジェクトの663,101MATICトークンが失われました。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-4d8e15a518ca397b76a7e497617ab978)攻撃側のトランザクションのコールスタックを分析した結果、攻撃者はフラッシュローンとリエントランシーの脆弱性を組み合わせて悪用していることがわかりました。 流動性を削除する過程で、攻撃者はリエントランシー攻撃を成功させ、その結果、同じ関数がリエントランシーの前後で非常に異なる値を返すようになりました。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-e8af1d7d09e86438ebf38ead98676d76)さらに深く掘り下げると、問題はremove_liquidity機能にあることがわかります。 この機能は、流動性を削除し、ユーザーのトークンを返す役割を果たします。 PolygonチェーンはEVM互換であるため、コントラクトのリエントラントロジックは転送プロセス中にトリガーされます。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-723c5b4a39a2f19df12a1a8148314db0)重要な脆弱性は、価格計算に使用される self.D 変数にあります。通常、self.D は流動性を削除する際にタイムリーに更新されるべきですが、コードの論理的欠陥により、self.D の更新が外部呼び出しの後に遅れました。これにより、攻撃者は中間に操作を挿入し、更新されていない self.D の値を利用してアービトラージを行う機会を得ました。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-9bab9c70334266f146fdb56281be3974)remove_liquidity 関数は @nonreentrant('lock') デコレータを使用して再入を防ぎますが、攻撃者はこの保護メカニズムを巧みに回避します。 彼らは、remove_liquidity機能自体を直接再エントするのではなく、他のコントラクトの借入および貸付機能を再エントラントすることにより、リエントラントロックの制限を回避します。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-111047ecd9af84620f98df2f4dd67efa)この攻撃は、スマートコントラクト開発におけるいくつかの重要なセキュリティ原則の重要性を浮き彫りにしました。1. Checks-Effects-Interactionsパターンに厳密に従ってください。2. 重要な変数の更新が外部呼び出しの前に完了していることを確認します。3. 複数のデータソースを使用して価格を取得し、システムの堅牢性を強化します。4. 包括的なセキュリティ監査は、潜在的な脆弱性を発見し修正するために重要です。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-eec688a506ffd949bdb6891b97fabb6c)この出来事は、急速に発展するブロックチェーンエコシステムにおいて、セキュリティが常に最優先事項であることを再度思い出させます。プロジェクト開発チームは、最新のセキュリティプラクティスに継続的に注意を払い、ユーザー資産の安全を確保するために定期的にコードレビューと脆弱性テストを行うべきです。! [ジャービスネットワークフラッシュローン再入攻撃インシデント分析](https://img-cdn.gateio.im/social/moments-a0f03c13dd2d37ba67ccf538fec62aa0)
Jarvis Networkがフラッシュローンの再入攻撃を受け、66万MATICトークンを失いました。
Jarvis Network プロジェクトがフラッシュローン再入攻撃を受けた分析
最近、Jarvis Networkプロジェクトへの攻撃が業界の注目を集めています。 オンチェーンデータモニタリングによると、攻撃は2023年1月15日に発生し、プロジェクトの663,101MATICトークンが失われました。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析
攻撃側のトランザクションのコールスタックを分析した結果、攻撃者はフラッシュローンとリエントランシーの脆弱性を組み合わせて悪用していることがわかりました。 流動性を削除する過程で、攻撃者はリエントランシー攻撃を成功させ、その結果、同じ関数がリエントランシーの前後で非常に異なる値を返すようになりました。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析
さらに深く掘り下げると、問題はremove_liquidity機能にあることがわかります。 この機能は、流動性を削除し、ユーザーのトークンを返す役割を果たします。 PolygonチェーンはEVM互換であるため、コントラクトのリエントラントロジックは転送プロセス中にトリガーされます。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析
重要な脆弱性は、価格計算に使用される self.D 変数にあります。通常、self.D は流動性を削除する際にタイムリーに更新されるべきですが、コードの論理的欠陥により、self.D の更新が外部呼び出しの後に遅れました。これにより、攻撃者は中間に操作を挿入し、更新されていない self.D の値を利用してアービトラージを行う機会を得ました。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析
remove_liquidity 関数は @nonreentrant('lock') デコレータを使用して再入を防ぎますが、攻撃者はこの保護メカニズムを巧みに回避します。 彼らは、remove_liquidity機能自体を直接再エントするのではなく、他のコントラクトの借入および貸付機能を再エントラントすることにより、リエントラントロックの制限を回避します。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析
この攻撃は、スマートコントラクト開発におけるいくつかの重要なセキュリティ原則の重要性を浮き彫りにしました。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析
この出来事は、急速に発展するブロックチェーンエコシステムにおいて、セキュリティが常に最優先事項であることを再度思い出させます。プロジェクト開発チームは、最新のセキュリティプラクティスに継続的に注意を払い、ユーザー資産の安全を確保するために定期的にコードレビューと脆弱性テストを行うべきです。
! ジャービスネットワークフラッシュローン再入攻撃インシデント分析