最近、あるブロックチェーンセキュリティ会社が特定のデジタルコレクション契約に二つの深刻な脆弱性があることを発見し、業界の注目を集めました。該当の契約アドレスはイーサリアムメインネットにあり、関連する問題はユーザーの資産がロックされ、プロジェクトの資金が引き出せなくなる可能性があります。最初の脆弱性は、返金処理関数に存在します。この関数はループを通じてすべてのユーザーに返金を行いますが、返金対象が悪意のあるコントラクトである場合、受け取りを拒否し、トランザクションがロールバックされる可能性があり、その結果、全体の返金プロセスが失敗することになります。幸いなことに、この脆弱性は実際には利用されていません。! [](https://img-cdn.gateio.im/social/moments-2b48c446b79227ab40357d02ae7e5272)このような返金ロジックに関して、業界の専門家は以下のいくつかの提案をしました。1. 外部アカウント(EOA)のみがプロジェクトに参加できる制限2. WETHなどのERC20トークンをネイティブアセットの代わりに使用する3. ユーザーが自発的に返金を受け取るメカニズムを設計し、一括返金を避ける! [](https://img-cdn.gateio.im/social/moments-2b91eca25d8cd8d24a2a7680e8b4f7aa)二つ目の脆弱性は、コードの記述ミスに起因しています。プロジェクトが資金を引き出す関数内で、条件判断の誤りがあります。本来は返金進捗と入札インデックスを比較すべきところが、誤って総入札数と比較されてしまいました。これにより条件が永遠に満たされず、プロジェクトの資金(3400万ドル以上)が契約の中で永久にロックされてしまいました。! [](https://img-cdn.gateio.im/social/moments-04031cf161bae26d766a75befa44e64e)この事件は再び業界にデジタルコレクションプロジェクトの安全性に対する懸念を引き起こしました。分散型金融(DeFi)分野では、安全監査は一般的な慣行となっていますが、デジタルコレクションプロジェクトでは、このプロセスがまだ無視されているようです。専門家は、プロジェクトが開発過程で十分なテストケースを作成し、基本的な安全意識を育成し、専門の安全監査を導入することを検討すべきだと呼びかけています。類似の初歩的なエラーによる巨額の損失を避けるために。
イーサリアムデジタルコレクション契約に2つの重大な脆弱性が発覚し、3400万ドルの資金がロックされています。
最近、あるブロックチェーンセキュリティ会社が特定のデジタルコレクション契約に二つの深刻な脆弱性があることを発見し、業界の注目を集めました。該当の契約アドレスはイーサリアムメインネットにあり、関連する問題はユーザーの資産がロックされ、プロジェクトの資金が引き出せなくなる可能性があります。
最初の脆弱性は、返金処理関数に存在します。この関数はループを通じてすべてのユーザーに返金を行いますが、返金対象が悪意のあるコントラクトである場合、受け取りを拒否し、トランザクションがロールバックされる可能性があり、その結果、全体の返金プロセスが失敗することになります。幸いなことに、この脆弱性は実際には利用されていません。
!
このような返金ロジックに関して、業界の専門家は以下のいくつかの提案をしました。
!
二つ目の脆弱性は、コードの記述ミスに起因しています。プロジェクトが資金を引き出す関数内で、条件判断の誤りがあります。本来は返金進捗と入札インデックスを比較すべきところが、誤って総入札数と比較されてしまいました。これにより条件が永遠に満たされず、プロジェクトの資金(3400万ドル以上)が契約の中で永久にロックされてしまいました。
!
この事件は再び業界にデジタルコレクションプロジェクトの安全性に対する懸念を引き起こしました。分散型金融(DeFi)分野では、安全監査は一般的な慣行となっていますが、デジタルコレクションプロジェクトでは、このプロセスがまだ無視されているようです。専門家は、プロジェクトが開発過程で十分なテストケースを作成し、基本的な安全意識を育成し、専門の安全監査を導入することを検討すべきだと呼びかけています。類似の初歩的なエラーによる巨額の損失を避けるために。