デジタルコレクション契約に二重の脆弱性が発見され、3400万ドルの資産が永久にロックされる

BlockSecは最近、あるデジタルコレクション契約に2つの深刻な脆弱性が存在することを発見し、業界の注目を集めました。最初の脆弱性は、契約がサービス拒否攻撃を受ける可能性があり、ユーザー資産がロックされるリスクに直面する可能性があります。2番目の脆弱性は、プロジェクト側が3400万ドル以上の資産を契約内で永久に引き出せない状態になる可能性があります。

!

最初の脆弱性は、返金処理関数にあります。この関数は、すべてのユーザーに返金するためにループを使用しますが、もし返金対象が悪意のあるコントラクトである場合、受け取ることを拒否し、トランザクションがロールバックされる可能性があり、全体の返金プロセスが中断されます。幸い、この脆弱性は実際には悪用されませんでした。

このような状況に対して、安全専門家はプロジェクト側が返金メカニズムの安全性を強化するために以下の対策を講じることを推奨します：

1. 制限は個人ユーザーアカウントのみがプロジェクトに参加できることです。
2. ERC20トークンなどのネイティブ資産の代替を使用する
3. ユーザーが自発的に返金を受け取る機能を設計し、バッチ返金を避ける

!

第二の脆弱性はプログラミングエラーに起因しています。プロジェクト資金を引き出す関数内に誤った条件判断文があります。この文は、返金進捗を入札インデックスと比較するべきでしたが、誤って総入札数と比較されました。返金進捗は常に総入札数よりも小さく、増加しないため、条件は永遠に満たされず、プロジェクト側の資金は契約内に永久にロックされてしまいます。

このエラーにより、3400万ドル以上の資産が現在契約内に留まり、引き出すことができません。

セキュリティ専門家は驚くべきことに、NBAデジタルコレクションの署名検証の脆弱性事件の後に、また別の著名なプロジェクトでこのような初歩的なミスが発生したと述べています。彼らは、プロジェクト開発の過程で十分なテストケースを作成し、基本的なセキュリティ意識を持つ必要があると強調しています。分散型金融の分野では、セキュリティ監査が一般的な慣行となっていますが、デジタルコレクションプロジェクトでは、セキュリティ監査が依然として不十分であり、この怠慢が直接的に巨額の損失を引き起こしました。

この事件は再びブロックチェーンプロジェクトのセキュリティ監査の重要性を浮き彫りにし、業界に対してデジタルコレクション契約のセキュリティチェックを強化し、同様の事件が再び発生しないよう呼びかけています。

!