Core Concepts
コンスタントプロダクト型マーケットメーカー(CPMM)の脆弱性を自動的に検出し、利益を生み出す攻撃を合成するツールCPMM-Exploiterを提案する。CPMMの安全性を保証する2つの不変条件を特定し、それらを破る取引を見つけ出し、さらに利益を最大化するための取引を合成する。
Abstract
本論文では、分散型金融(DeFi)におけるコンスタントプロダクト型マーケットメーカー(CPMM)の脆弱性について分析している。
CPMMは分散型取引所(DEX)で広く採用されているモデルで、2つのトークンの交換レートを自動的に決定する。しかし、CPMMとトークンコントラクトの連携には新しい種類の脆弱性が存在し、「コンポーザビリティバグ」と呼ばれている。
これらのバグは、複数のスマートコントラクトが連携して動作する際に、意図しない動作を引き起こすものである。特に、トークンコントラクトとCPMMの間のバグは深刻な被害を引き起こしており、2022年には23件の攻撃で合計220万ドルの損失が報告されている。
著者らは、CPMM-Exploiterと呼ばれるツールを提案する。CPMM-Exploiterは、CPMMの脆弱性を自動的に検出し、攻撃シナリオを合成することができる。
CPMM-Exploiterは、CPMMの安全性を保証する2つの不変条件を特定し、それらを破る取引を見つけ出す。そして、その取引をさらに改良して利益を最大化する。
評価の結果、CPMM-Exploiterは既存ツールと比べて高い検出率と効率性を示した。また、実際のイーサリアムとバイナンス・スマートチェーンのブロックチェーンで実行したところ、18件の新しい脆弱性を発見し、合計12.9K USDの利益を生み出すことができた。
Stats
2022年には23件の攻撃で合計220万ドルの損失が報告されている。
2023年2月にはそのような攻撃が138件発生したと報告されている。