3400万ドルがロックされる デジタルコレクション契約の脆弱性がセキュリティ警鐘を鳴らす

BlockSecチームは最近、デジタルコレクション契約に存在する2つの重大な脆弱性を発見しました。この契約はイーサリアムネットワーク上にあり、1つの脆弱性は契約がサービス拒否攻撃を受け、ユーザーの資産がロックされる可能性があります。幸い、この脆弱性は悪用されませんでした。もう1つのより深刻な脆弱性は、3400万ドル以上のプロジェクト資金が契約内に永久にロックされ、引き出すことができないことを引き起こしました。

最初の脆弱性は、返金処理関数に存在します。この関数は、ループを通じてすべてのユーザーに返金を行いますが、その中に悪意のある契約ユーザーがいる場合、返金を受け取ることを拒否し、トランザクションがロールバックされる可能性があり、すべてのユーザーの返金操作に影響を与えることがあります。このような問題を避けるために、プロジェクトチームは以下の安全な返金方法を検討することをお勧めします。

1. プロジェクトには一般ユーザーアカウントのみが参加できる制限があります
2. ネイティブトークンではなく、ラップトークンを使用する
3. ユーザーが自発的に返金を受け取るメカニズムを設計し、バッチ返金を避ける

!

二つ目の脆弱性は、コード内の論理エラーによって引き起こされています。プロジェクト資金を引き出す関数には条件判断文がありますが、その文は誤った変数を比較しています。これにより条件が決して満たされず、プロジェクト側は契約内の資金を引き出すことができません。現在、3400万ドル以上の資産が契約内にロックされています。

!

この事件は、著名なプロジェクトであっても基本的なエラーが発生する可能性があることを再び浮き彫りにしました。開発チームはプロジェクト開発過程で十分なテストケースを作成し、基本的なセキュリティ意識を持つ必要があります。分散型金融分野では、セキュリティ監査が一般的な慣行となっていますが、デジタルコレクションプロジェクトでは、セキュリティ監査が十分に重視されていないようです。このような怠慢は、巨額の資金損失を直接引き起こしました。

この事件は業界に警戒を促すべきであり、すべてのブロックチェーンプロジェクトの開発者にコードの安全性を重視し、安全監査プロセスを強化するよう警告しています。これにより、類似の脆弱性が再発するのを防ぐことができます。同時に、急速に発展しているブロックチェーン業界における専門のセキュリティチームの重要性も浮き彫りにしています。

!