BlockSecはデジタルコレクション契約の2つの脆弱性を発見し、3400万ドルの資金が行き詰まっています。

BlockSecチームは最近、あるデジタルコレクション契約に2つの深刻な脆弱性が存在することを発見しました。これらの脆弱性は、ユーザーの資産がロックされ、プロジェクトが3400万ドル以上の資金を引き出せない原因となる可能性があります。

!

最初の脆弱性は、返金機能に関係しています。契約内の返金関数は、すべてのユーザーに返金を行うためにループを使用していますが、もしその中の1人のユーザーが悪意のある契約であれば、返金の受け取りを拒否し、全体の取引が失敗する可能性があります。これにより、すべてのユーザーが返金を受け取ることができなくなります。幸いにも、この脆弱性は悪用されていませんでした。

返金を必要とするプロジェクトには、以下の安全対策を講じることをお勧めします：

1. 参加者は外部所有アカウント（EOA）のみと制限されます。
2. ERC20トークンのWETHを使用し、ネイティブ資産ではなく
3. ユーザーが自発的に返金を申請するメカニズムを設計し、大量返金を避ける

!

第二の脆弱性はコードのエラーです。プロジェクト資金を引き出す関数に条件判断のエラーがあります。この関数は返金進捗を入札インデックスと比較するべきですが、誤って総入札数と比較しています。返金進捗は常に総入札数より小さく、もう増加しないため、条件が永遠に満たされることはありません。これにより、プロジェクトは契約にロックされた資金を引き出すことができなくなります。

これらの脆弱性は、著名なプロジェクトでも基本的なエラーが発生する可能性があることを再度浮き彫りにしました。開発チームは十分なテストケースを作成し、基本的なセキュリティ意識を持つ必要があります。セキュリティ監査は分散型金融分野では一般的な慣行となっていますが、デジタルコレクションプロジェクトでは依然として不足しており、今回の事件は巨額の損失を引き起こしました。

この事件は、注目されているプロジェクトでさえ深刻な脆弱性を抱えている可能性があることを私たちに思い出させます。特に大金を扱う際には、ブロックチェーンプロジェクトの開発において包括的なセキュリティ監査を行う重要性を強調しています。プロジェクトは、同様のcostlyなミスを防ぐために、契約の安全性をより重視すべきです。

!