Cointime

Cointime

Download App
iOS & Android

SharkTeam: 契約精度計算の脆弱性とセキュリティに関する提案

ここ数カ月間、受託開発プロセスにおける価格精度計算の脆弱性に関するセキュリティインシデントが多発しており、MIM_SPELL社で650万ドル、RadiantCapital社で450万ドル、Onyx Protocol社で210万ドルなど、損失額は1,000万ドルを超えています。計算時の精度に問題があるため、重要な変数が誤って計算され、攻撃を受けます。

SharkTeam は、このようなセキュリティ インシデントを要約し、効果的なセキュリティに関する提案を提供しており、その後のプロトコルが警告として機能し、ユーザーの暗号化された資産のセキュリティを保護できることが期待されています。

1. MIM_SPELL攻撃事件

発生時期:2024年1月30日

損失額:約650万ドル、

脆弱性の理由: 契約には Elastic と Base の 2 つのローン変数があり、これら 2 つの精度を計算する際に、両方とも上方丸め方法が使用されます。この操作により、計算結果が 0 であるはずのパラメータが最終的に 1 と計算されてしまい、2 つのパラメータ間の不均衡が生じ、最終的に MIM トークンが過剰に貸し出される可能性があります。

詳細分析: https://bit.ly/3ScR7TK

2.RadiantCapital攻撃事件

発生時期:2024年1月2日

損失額:約450万ドル、

脆弱性の理由: ハッカーは、新しい市場が初期化されていないという契約の脆弱性を利用し、流動性インデックスが初期化されていないため、ハッカーはフラッシュ ローン機能を通じてそのサイズを操作することができ、インデックスが大きくなると、ハッカーは rayDiv 関数の丸め精度を利用しましたが、問題は、指数が大きくなるにつれて丸めによる精度損失の上限も大きくなり、ハッカーはアクセス操作を繰り返すことで利益を得られることです。

3. Onyx Protocol攻撃事件

発生時期:2023年11月11日

損失額:約210万ドル、

脆弱性の理由:RadiantCapital攻撃事件と同様、流動性が初期化されていない新規市場の脆弱性が悪用され、divUint関数に精度の低下を引き起こす丸め込みの脆弱性が存在しました。

詳細分析: https://bit.ly/47cKeI6

4. WiseLending 攻撃事件

発生時期:2024年1月12日

損失額:約465,000米ドル、

脆弱性の理由:契約ではローンシェアの計算時に上方四捨五入が行われており、攻撃者はこれを利用して株価上昇を目的としたアクセス操作を繰り返し、株価上昇後、自身の株式で大量のETHを借入する。

5. HopeLend 攻撃

発生時期:2023年10月18日

損失額:約85万ドル

脆弱性の理由: ハッカーは当初、ターゲット資産に対応するプール内の流動性の不均衡を利用し、ターゲット資産に関連付けられた hToken の流動性インデックスを操作し、その価値を歪めました。次にハッカーは、非常に少量の hToken 担保を使用して、他のすべての基礎資産を借用しました。その後、ハッカーは契約分割操作で rayDiv 関数の丸めの脆弱性を悪用して資金の入出金を繰り返し、Hoplend 攻撃に投資された原資産を枯渇させました。

精度の問題は通常、次の 2 つのカテゴリに分類されます。

1. 1 つのタイプは上方丸めが正しくないため、0 であるべきパラメータが 1 として扱われる可能性があり、後続の計算に重大な抜け穴が発生する可能性があります。

2. 2 番目のカテゴリは丸めの問題で、最も深刻なものは rayDiv 関数を誤って使用するプロジェクトです。

安全上のアドバイス:

1. 前者の場合、プロジェクトのロジックで上向きの丸め演算が必要な場合は、丸め変数が 1 または 0 などの条件で複数の多様な繰り返しテストを実行する必要があります。

2. 2 番目のタイプの場合は、小数点以下の値として 10**18 をサフィックスとして使用するなど、最初に乗算して均一な精度で除算する方法を使用できます。

3. どのような状況であっても、可能な限りあらゆる状況を考慮して計算ロジックをあらゆる面からテストし、特に計算結果が異なると処理ロジックが異なる場合には、慎重なテストが必要です。理論的なロジック設計と実際のコード実装を組み合わせて、死角のない全方位的な方法でコントラクト機能をテストします。テスト ケースがさまざまな変更をカバーできれば、精密な計算によって引き起こされるセキュリティの問題を回避できます。

SharkTeam のビジョンは、Web3 の世界を保護することです。このチームは、ブロックチェーンとスマート コントラクトの基礎理論に精通した、世界中から集まった経験豊富なセキュリティ専門家と上級研究者で構成されています。オンチェーンビッグデータ分析、オンチェーンリスク警告、KYT/AML、スマートコントラクト監査、暗号化資産回復などのサービスを提供し、オンチェーンインテリジェントリスク識別プラットフォームChainAegisを構築しました。詳細なグラフ分析を提供し、Web3 の世界での高度持続的脅威 (APT) と効果的に戦うことができます。 Polkadot、Moonbeam、polygon、Sui、OKX、imToken、Collab.Land など、Web3 エコシステムのさまざまな分野の主要企業と長期的な協力関係を確立しています。

公式ウェブサイト:https: //www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

ディスコード: https://discord.gg/jGH9xXCjDZ

電報: https://t.me/sharkteamorg

コメント

全てのコメント

Recommended for you

  • 米上院銀行委員会の委員長は、ステーブルコインの利回りに関する新たな草案が早ければ今週中にも公表される可能性があると述べた。

    Cointimeの報道によると、上院銀行委員会の委員長を務めるティム・スコット上院議員は、ワシントンD.C.で開催されたブロックチェーンサミットで、議員らは早ければ今週中にも、少なくともステーブルコイン関連の条項を含む新たな法案草案を目にする可能性があると述べた。スコット議員は、法案の中で最も注目を集めているのはステーブルコインの利回り問題だが、議員らは引き続きこの問題に取り組んでいると指摘した。 スコット議員は、「今週中に最初の提案が提出されるだろう。もしそれが週末までに実現すれば、少なくとも法案の枠組みが形になりつつあるかどうかが分かるだろう。そうなれば、我々はより良​​い状況に立てると思う」と述べた。また、ステーブルコインの利回り問題に関して、民主党のアンジェラ・アルソブルックス上院議員、共和党のトム・ティリス上院議員、そしてホワイトハウス高官のパトリック・ウィット氏の尽力も、この進展に貢献していると述べた。 スコット氏は、過去1か月間の交渉で、ドナルド・トランプ大統領とその家族の暗号資産プロジェクトに対する議員の懸念、主要な規制機関における超党派代表の欠如、顧客確認(KYC)規制など、その他の未解決問題も取り上げられたと述べた。 スコット氏はまた、「倫理問題と定足数については、合意に非常に近づいていると思います。これは相手側にとっても重要な問題だと認識しているので、こちらも対応しています。また、いくつかの人事についても進展が見られており、これは良いニュースです。DeFiに関しては、マーク・ワーナー上院議員が注力している分野であり、マネーロンダリング対策(AML)は非常に重要な要素です。これらの問題についても前進していると思います」と述べた。

  • ゴールデンモーニングブリーフィング|3月18日の主要な夜間動向

    21:00~7:00 キーワード:ファントムウォレット、ストライプウォレット、オートノマスウォレット、イラン 1. イランは、米国とイスラエルが自国領土を使用することを容認する国に対して、合法的に攻撃できると主張している。 2. 米国CFTC(商品先物取引委員会)は、ファントムウォレットはブローカーとしての登録を必要としないと発表。 3. アリゾナ州司法長官は、予測マーケティング担当者のカルシ氏を刑事告発。 4. 米国国務省は、世界中のすべての在外公館に対し、「直ちに」安全保障評価を実施するよう命じた。 5. ロビンフッド・ベンチャーキャピタルは、ストライプウォレットとイレブンラボに約3500万ドルを投資。 6. GSRは、オートノマスウォレットとアーキテックを買収するために5700万ドルを投資し、暗号資産ファンド管理プラットフォームを構築。 7. 米国証券取引委員会(SEC)とCFTCは、ほとんどのデジタル資産は証券ではないとする新たな暗号資産ガイダンスを発表。

  • 米国証券取引委員会(SEC)と商品先物取引委員会(CFTC)は、仮想通貨に関する新たな見解を発表し、ほとんどのデジタル資産は証券の範疇には含まれないとした。

    Cointimeは3月18日、米国証券取引委員会(SEC)と商品先物取引委員会(CFTC)が暗号資産に関する68ページのガイダンス文書を公表し、ほとんどのデジタル資産は証券ではないと明記したと報じた。この新たな説明では、ステーブルコイン、デジタル商品、および「デジタル商品」トークンの分類が詳細に説明されており、これらはすべて証券ではないと両機関は述べている。また、「非証券暗号資産」がどのようにして証券になり得るのかを説明し、マイニング、プロトコルステーキング、エアドロップに連邦証券法がどのように適用されるのかを明確にしている。 SECはさらに、非証券デジタル資産が投資契約の対象となる仕組みについても説明している。SECの説明によると、「非証券暗号資産は、発行者が投資家に対し共同事業への投資を促し、必要な経営業務を行うという約束または表明を行い、かつ購入者がそこから利益を得ると期待する理由がある場合に、投資契約の対象となる」。

  • マスターカードは、ステーブルコイン企業であるBVNKを最大18億ドルで買収する計画だ。

    Cointimeの報道によると、Mastercardはステーブルコインインフラのスタートアップ企業であるBVNKを、条件付き買収額3億ドルを含め最大18億ドルで買収する計画だ。この買収は、BVNKとCoinbaseの約20億ドル規模の合併交渉が決裂してからわずか4ヶ月後のことである。両社は火曜日に発表した共同声明で、この取引を確認した。

  • Zixi.eth ·

    DexFV × OpenClawの詳細分析:AI駆動型オンチェーン資本市場インフラ

    DexFV × OpenClawの詳細分析:AI駆動型オンチェーン資本市場インフラ
  • Zixi.eth ·

    OpenClawのスキルでどうやってお金を稼ぐのですか?ANOME ONEと比べて、どちらの道があなたに合っていますか?

    OpenClawのスキルでどうやってお金を稼ぐのですか?ANOME ONEと比べて、どちらの道があなたに合っていますか?

  • ビットコインが7万5000ドルを突破

    市場データによると、BTCは75,000ドルを突破し、現在75,033.01ドルで取引されており、24時間で2.83%上昇しています。市場は著しい変動に見舞われているため、リスク管理には十分ご注意ください。

  • Zixi.eth ·

    OpenClawは非常に人気がありますが、一般の人々が本当に必要としているのはエビ養殖そのものではなく、彼らが直接参加できるような入り口です。

    OpenClawは非常に人気がありますが、一般の人々が本当に必要としているのはエビ養殖そのものではなく、彼らが直接参加できるような入り口です。
  • FusnChain ·

    FusnChainのメインネットがまもなくローンチされます。これは、金融取引のための世界初のパブリックブロックチェーンであり、PayFi時代に向けたオンチェーン金融取引インフラの到来を告げるものです。

    世界のWeb3インフラストラクチャ環境において、歴史的なパラダイムシフトが目前に迫っている。仮想通貨の世界と現実世界の資金の流れを結びつけることに特化した公式ネットワークであるFusnChainは、メインネットのローンチが間近であることを正式に発表した。

    FusnChainのメインネットがまもなくローンチされます。これは、金融取引のための世界初のパブリックブロックチェーンであり、PayFi時代に向けたオンチェーン金融取引インフラの到来を告げるものです。

  • ビットコインが7万1500ドルを突破

    市場データによると、BTCは71,500ドルを突破し、現在71,510.19ドルで取引されており、24時間で1.06%上昇しています。市場は著しい変動に見舞われているため、リスク管理には十分ご注意ください。

毎日の必読

人気のアクティビティ

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

April 30 - April 30
Dubai

人気のタグ

Cointime
Content
Company