デジタルコレクション契約に2つの重大な脆弱性があり、3400万ドルの資金がロックされています。

近日、あるセキュリティ会社が特定のデジタルコレクション契約に2つの深刻な脆弱性を発見し、業界で広く注目を集めています。この2つの脆弱性は、それぞれユーザーの資産がロックされることとプロジェクトの資金が引き出せなくなるという深刻な結果を引き起こす可能性があります。

最初の脆弱性は返金関数にあります。この関数はループ方式で全てのユーザーに返金を行いますが、もし返金対象が悪意のあるコントラクトの場合、受け取りを拒否され、取引が失敗する可能性があり、結果として全てのユーザーの返金プロセスに影響を与えることになります。幸いなことに、この脆弱性は現在利用されていません。

このような状況に対して、業界の専門家はプロジェクトが返金メカニズムを設計する際に以下の点を考慮することを提案しています：参加者を普通のユーザーアカウントに限定すること、ネイティブ資産ではなく安定したトークンを使用すること、バルク返金ではなくユーザーが自発的に返金を受け取る機能を設計することなど。

!

第二の脆弱性は、コード内の比較ロジックのエラーによって引き起こされました。プロジェクト資金を引き出す関数には、返金進捗と入札インデックスを比較すべき条件判断文がありましたが、誤って総入札数と比較されました。これにより条件が決して満たされず、プロジェクトの資金は契約内に永久にロックされることになりました。現在、ロックされている資金は3400万ドルを超えているとのことです。

!

この事件は再び業界にデジタルコレクションプロジェクトの安全性に対する懸念を引き起こしました。分散型金融の分野では、安全監査が一般的な手法となっていますが、デジタルコレクションプロジェクトでは安全監査が十分に重視されていないようです。専門家は、プロジェクトが開発過程で十分なテストケースを作成し、基本的な安全意識を育成し、専門の安全監査を導入することを考慮すべきだと呼びかけています。類似の初歩的なミスによる巨額の損失を避けるために。

この事件は再び私たちに、名の知れたプロジェクトであっても深刻なセキュリティのリスクが存在する可能性があることを思い出させます。急速に発展するWeb3の分野では、セキュリティは常に最優先で考慮すべき要素であるべきです。

!