@AkuDreamsコントラクトに2つの重大な論理的脆弱性が存在することが判明しました(etherscanリンク)。最初の脆弱性はDoS攻撃を引き起こす可能性があり、2番目の脆弱性はプロジェクト資金(3,400万ドル以上)を永遠にロックする可能性があります。
脆弱性I
最初の脆弱性は processRefunds 関数に存在します。この関数には、各入札者の資金を返金するループがあります。しかし、入札者はトランザクションをリバートする悪意のあるコントラクトである可能性があります。これにより、processRefunds の呼び出しがリバートし、ユーザーの返金は一切成功しなくなります。幸いなことに、この脆弱性は悪用されていません。
ユーザーへの返金には、コントラクトで以下の対策を講じることを推奨します。
- EOAのみが入札できるようにする
- ETHではなく、ERC20トークン(例: WETH)を使用する
- ユーザーが自分で返金を受け取れる関数を用意する
脆弱性II
2番目の脆弱性はソフトウェアバグです。 claimProjectFunds 関数では、プロジェクトオーナーはコントラクト内のEtherを請求できます。しかし、require(refundProgress >= totalBids, "Refunds not yet processed"); という要件文にバグがあり、totalBids ではなく _bidIndex と refundProgress を比較する必要があります。この脆弱性により、要件が満たされることはなく、コントラクト内のEther(11,539.5 Ether)は永遠にロックされる可能性があります。
まとめ
昨日(NBA NFTの件)に続き、このような著名なプロジェクトが基本的なソフトウェアセキュリティの実践を軽視していることに再び驚いています。少なくとも、プロジェクトは十分なテストケースを書くべきでした。残念ながら、プロジェクトはテストケースを書くのに忙しすぎて、3,400ドルを永遠に失ったのではないかと推測します。
BlockSecについて
BlockSecは、世界的に著名なセキュリティ専門家グループによって2021年に設立された、先駆的なブロックチェーンセキュリティ企業です。当社は、新興のWeb3世界のセキュリティとユーザビリティを向上させ、その大規模な普及を促進することに専念しています。そのために、BlockSecはスマートコントラクトおよびEVMチェーンのセキュリティ監査サービス、プロアクティブなセキュリティ開発と脅威ブロックのためのPhalconプラットフォーム、資金追跡と調査のためのMetaSleuthプラットフォーム、そしてクリプト界を効率的にサーフィンするためのWeb3ビルダー向けMetaDock拡張機能を提供しています。
現在までに、MetaMask、Uniswap Foundation、Compound、Forta、PancakeSwapなど300社以上の著名なクライアントにサービスを提供し、Matrix Partners、Vitalbridge Capital、Fenbushi Capitalなどの著名な投資家から2回の資金調達で数千万米ドルを受け入れています。
公式ウェブサイト:https://blocksec.com/ 公式Twitterアカウント:https://twitter.com/BlockSecTeam
