暗号通貨セキュリティ会社スローミストは最近、ハッカーが取引所の預金に対する不正攻撃に悪用したLDOトークン契約のセキュリティ上の欠陥について警告を発した。この欠陥は、この契約が ERC20 標準に準拠していないことにあります。ERC20 標準では、通常、送金者に十分な資金がない場合、送金取引はキャンセルされると定められています。代わりに、LDO トークン コントラクトは単に「偽」の結果を返すだけで、悪意のある攻撃者が実際に所有しているよりも多くのトークンを転送できるようになります。
SlowMist の警告は、LDO トークン契約の運用上の問題を概説するツイートによって裏付けられました。このツイートは、コントラクトがユーザーの実際の利用可能額を超える金額で転送操作を実行する場合、トランザクションの通常のロールバックがアクティブ化されないことを強調しています。代わりに、単に「false」を返し、取引所をだましてユーザーのアカウントに偽の金額を入金させます。これにより、ユーザーは間違った残高を使用して取引所から追加のトークンを引き出すことができます。
取引に推奨される銘柄
SlowMist は、この欠陥に関連するリスクを軽減するために、LDO トークンを統合する取引所とプラットフォームに対するいくつかの予防策を概説しました。まず同社は、トークンを入金する際には、取引の成否だけでなく、トークンコントラクトの戻り値も確認することが重要であると述べた。この追加レベルの検証は、不正な入金に対する保護手段として機能します。
次に、SlowMist は、新しいトークン、特に ERC20 標準に準拠していないトークンを統合する前に、トークン コントラクト コードの包括的な分析を行うことをお勧めします。このステップは、各トークン コントラクトのニュアンスと潜在的な脆弱性を理解するために重要です。
最後に、セキュリティ会社は、システムの堅牢性とセキュリティを確保するために、定期的なコード監査とセキュリティ チェックを推奨しています。これらの監査により、潜在的な弱点を特定し、それらを迅速に修正する機会を提供できます。
このセキュリティ上の欠陥が悪用されると、トークン契約の堅牢性と業界標準の順守について、より広範な疑問が生じます。トークン契約の複雑さと多様性が増すにつれ、同様の脆弱性が出現するリスクが高くなります。 SlowMistの警告は、取引所やその他のプラットフォームに対し、デューデリジェンスを実施し、厳格なセキュリティ対策を講じるようタイムリーに警告する役割を果たす。