著名なデジタルコレクションプロジェクトのスマートコントラクトの脆弱性により3400万ドルがロックされる

最近、有名なデジタルコレクションプロジェクトのスマートコントラクトに2つの深刻な脆弱性が発見され、業界で広くフォローされています。セキュリティチームは、このプロジェクトのコントラクトを分析する際に、これらの潜在的なリスクを発見しました。

最初の脆弱性は返金メカニズムに関するものです。コントラクト内の返金関数はユーザーに返金するためにループ方式を採用していますが、この設計には重大な欠陥があります。もし返金を受け取るアドレスが悪意のあるコントラクトであれば、受け取りを拒否され、取引が失敗する可能性があり、結果的に他のすべてのユーザーの返金プロセスに影響を与えます。幸いなことに、この脆弱性は実際には悪用されませんでした。

!

このような状況に対して、安全専門家はプロジェクト側が返金の安全性を確保するために以下の措置を講じることを提案しています：

1. 制限は一般ユーザーアカウントのみがプロジェクトに参加できることです。
2. WETHなどのERC20トークンを使用し、ネイティブアセットではなくする。
3. ユーザーが自発的に返金を申請できるメカニズムを設計し、大量返金を避ける。

二つ目の脆弱性は、コード内の論理エラーによって引き起こされました。プロジェクト資金を引き出す関数には、二つの特定の変数を比較すべき条件判断文がありますが、別の変数を比較に使用してしまったため、条件が決して満たされず、プロジェクト側は契約内の資産を引き出すことができません。現在、3400万ドル以上の資産が契約内に永久にロックされています。

!

この出来事は、著名なプロジェクトでさえ基本的なエラーが発生する可能性があることを再び浮き彫りにしました。これは、開発プロセスにおいて、包括的なテストケースと基本的なセキュリティ意識が欠かせないことを私たちに思い出させます。DeFi分野では、セキュリティ監査が一般的な慣行となっていますが、デジタルコレクションプロジェクトにおいては、このプロセスがまだ無視されているようです。今回の巨額の損失は、セキュリティ監査の欠如の直接的な結果です。

この事件は業界全体への警告となるべきであり、すべての参加者にスマートコントラクトの安全性を重視し、コードのレビューおよびテストプロセスを強化して、同様の重大な損失が再発しないようにすることを促すべきです。

!