リド(Lido DAO/LDO)トークン契約の欠陥で数百万人が危険にさらされる
仮想通貨セキュリティ会社スローミスト(SlowMist)は、ハッカーが取引所に対する不正な預金攻撃をするために悪用したLDOトークン契約のセキュリティ上の欠陥について警告を発した事が分かった。
この欠陥は、同契約がERC-20標準に準拠していないことにあり、通常、送金者に十分な資金がない場合には送金取引を取り消す必要があると定められている。代わりに、LDOトークンコントラクトは単に「偽」の結果を返すだけで、悪意のある攻撃者が実際に所有しているよりも多くのトークンを転送できるようになる。スローミストの警告は、LDOトークン契約の運用上の問題を概説したツイートによって裏付けられた。
2. Be aware that there are many token contracts in the market that do not adhere to the ERC20 standard. Before integrating new tokens, ensure a deep understanding and analysis of their contract code to ensure the correct deposit logic.
— SlowMist (@SlowMist_Team) September 10, 2023
同ツイートでは、コントラクトがユーザーの実際の保有量を超える量の送金操作を実行した場合、通常のトランザクションのロールバックはトリガーされないことを強調。代わりに、単に「false」を返すだけで、取引所を誤解させ、ユーザーのアカウントに偽の金額を入金させます。これにより、ユーザーは間違った残高を使用して取引所から他のトークンを引き出せる。
交換推奨アクション
スローミストは、この欠陥に関連するリスクを軽減するため、LDOトークンを統合する取引所とプラットフォームに対するいくつかの予防策を概説している。
まず同社は、トークンの入金を行う際は、トランザクションの成否だけでなく、トークンコントラクトからの戻り値も確認することが重要であると述べ、この追加の検証層は、不正な入金に対する保護として機能すると主張している。次に、同社は、新トークン、特に ERC-20標準に準拠していないトークンを統合する前に、トークン契約コードの包括的な分析を実施することを推奨。このステップは、各トークンコントラクトのニュアンスと潜在的な脆弱性を理解するために不可欠である。
同社は、システムの堅牢性とセキュリティを確保するため、定期的なコード監査とセキュリティチェックを推奨しており、これらの監査により、潜在的な弱点を特定し、タイムリーな修復の機会を提供できる。このセキュリティ上の欠陥が悪用されると、トークン契約の堅牢性と業界標準の順守について、より広範な疑問が生じる。トークン契約の複雑さと多様性が増すにつれ、同様の脆弱性が出現するリスクが高くなる。スローミストのアラートは、取引所やその他のプラットフォームに対し、デューデリジェンスを実施し、厳格なセキュリティ対策を講じるようタイムリーに通知する役割を果たす。