CoinPostで今最も読まれています

DeFiレンディングサービスのbZx、再び脆弱性見つかる

画像はShutterstockのライセンス許諾により使用

800万ドル相当の被害

分散型金融(DeFi)のレンディングサービスであるbZxで再び脆弱性が見つかった。

bZxが13日、「iToken複製事故報告」と題した報告書を発表した。報告では、bZxは以下の一連の対応を行い、顧客資産には影響がないとしている。

  • トークンの転送機能の異常動作を検知
  • トークンの生成やバーンなど関連する機能を一時停止
  • プログラムの修正
  • 修正プログラムの監査機関による承認
  • 関連機能の再開

今回の事件ではトークンが奪われた訳ではなく、bZX側が総額800万ドル相当の負債を計上した。

bZXは、このような事故は予め想定していたもので、それを考慮したプロトコル設計になっているので問題なくプロジェクトは進行していくと説明している。

このプロトコルは、一流のセキュリティ企業である Peckshield 社と Certik 社によって厳重に監査された。…残念ながら、監査は銀の弾丸ではない。…私たちのシステムもMakerDAOと同様*にトークンの価値でシステムの負債をバックアップしている。このような事故が発生しても、当社の予防策とシステム設計が問題なく解決できることに感謝している。

*MakerDAOではETHの急激な値下がりによって担保率が100%を下回った場合、ガバナンストークンであるMKRによって負債がカバーされる。

なお、bZxでは今年2月にも2度、システムの穴を突いた攻撃を受けている。

関連システムの穴を突いて仮想通貨ETHを大量に獲得した方法

関連bZxで再び攻撃被害 被害額は約7000万円の仮想通貨イーサリアム

脆弱性の詳細

問題のあったトークン転送のコードは以下のような処理になっていた。

  1. 送り主と送り先のアドレスから残高を取得
  2. 送り主の残高を送金額をひいた値に更新
  3. 送り先の残高を送金額を加えた値に更新

ここで、送り主と送り先を同じアドレスにすることで、2番目の手順で総金額を引かれた残高が総金額を加えた残高になってしまい、送った金額分のトークンが誰からも失われることなく増えてしまう状態だった。

修正後は以下のような処理になっている。

  1. 送り主の残高を取得
  2. 送り主の残高を送金額をひいた値に更新
  3. 送り先の残高を取得
  4. 送り先の残高を送金額を加えた値に更新

送る金額を引いてから送り先の残高を参照することで、送り主と送り先を同じアドレスにしてトークンが増えることは無くなった。

『超早割』終了まで
0
0時間
0
0
さらに!! CoinPost読者限定割引コード提供中!
クリックしてコードをコピー
CoinPost App DL
注目・速報 相場分析 動画解説 新着一覧
05/26 日曜日
14:55
ビットコイン上のミームコイン「DOG」とは?Runesプロトコルの背景や買い方
RunesのミームコインDOGの買い方を紹介。Runesは、Ordinalsの創設者Casey氏が立ち上げたトークン発行プロトコル。暗号資産(仮想通貨)ビットコインのネットワークを使用。Ordinals保有者向けにエアドロップされたRunestoneに関係するDOGトークンはコミュニティ形成でリード。
11:30
31日にPCE価格指数発表を控え、BTC相場の上値は限定的か|bitbankアナリスト寄稿
イーサリアムETF承認を受けて変動した今週の暗号資産(仮想通貨)市場ついてbitbankのアナリスト長谷川氏が相場分析し、ビットコインチャートを図解。今週の暗号資産(仮想通貨)相場考察と翌週の展望を探る。
11:00
週刊仮想通貨ニュース|米SECのETH現物ETF承認に高い関心
今週は、米SECによる仮想通貨イーサリアムの現物ETF上場承認、スタンダードチャータード銀行によるイーサリアムの価格予想、STEPNの続編アプリSTEPN GOの発表に関するニュースが最も関心を集めた。
05/25 土曜日
18:00
ステーキング 主要取引所の仮想通貨別・年率報酬を徹底比較
暗号資産(仮想通貨)で受動収益(インカムゲイン)を得る、ステーキングの基礎知識から高利率銘柄、国内取引所3社のサービス比較まで徹底解説。ソラナ、イーサリアムなど注目銘柄の想定年率、レンディングとの違いも説明します。
15:00
参加型地域貢献ゲーム「ピクトレ」 Snap to Earn「SNPIT」とコラボ
参加型社会貢献ゲーム「ピクトレ」が、Snap to Earn「SNPIT」写真共有SNS「ピクティア」とコラボ。2024年6月1日から赤城山エリアで特典キャンペーンと実証試験を実施する。
14:00
秋元康氏プロデュース「IDOL3.0 PROJECT」が施策を発表、NIDT高騰
オーバースが秋元康氏プロデュースのアイドルプロジェクト「IDOL3.0 PROJECT」のWeb3.0施策を発表。暗号資産(仮想通貨)Nippon Idol Token(NIDT)が高騰した。
13:00
ビットコイン採掘会社マラソン、ケニア共和国エネルギー・石油省と協定を締結
米上場ビットコインマイニング企業マラソンは、ケニア共和国エネルギー・石油省との提携を発表した。再生可能エネルギープロジェクトに取り組む。
11:10
イーサリアムの次期アップグレード「Pectra」 25年第1四半期を目標に
イーサリアムの次期アップグレード「Pectra」に関する最新情報。開発者は2025年第1四半期末のローンチを目指して動いている。EOFやPeerDAS、EIP-7702などの新機能が含まれる見込み。イーサリアムは暗号資産(仮想通貨)ETHで駆動するブロックチェーン。
09:55
米コインベース、「超党派法案はSECの主張する管轄権を否定」と指摘
米仮想通貨取引所コインベースは米SECとの裁判で仮抗告を求める最終書面を地裁に提出。FIT21法案が下院を通過したことも議論の補強材料としている。
08:15
JPモルガン、イーサリアム現物ETFの取引開始は大統領選よりも前と予想
仮想通貨の若い投資家や起業家の票数を獲得するために方針転換したバイデン政権がSECにETFを承認するよう仕向けたといった憶測が散見されている。
07:40
ドージコインのモチーフ「かぼす」、天国へ
仮想通貨の代表的なミームコインであるドージコインのモチーフになった柴犬「かぼす」が、息を引き取ったことが飼い主から報告された。イーロン・マスク氏らが哀悼の意を表している。
07:15
アルトコイン銘柄のETFが2025年に実現の可能性、SCBアナリスト分析
CFTCとSECの管轄と権限を明確に分ける仮想通貨業界の重要な法案「FIT21」が22日に米下院で可決されたことも業界にとって追い風となっており、仮に今後法律となった場合、より多くのアルトコイン銘柄のETFがローンチされやすくなると期待されている。
06:10
コインベース、PoWとPoS併用の仮想通貨銘柄「Core」上場予定
コインベースは最近、ソラナ基盤のデリバティブ取引所DriftのDRIFTトークンの新規上場も行った。また、オフショア版コインベースインターナショナルでは、昨日BONKやFLOKIの永久先物取引も開始する予定を明かした。
05/24 金曜日
17:59
コインチェック IEO「BRIL」が注目される3つの理由
暗号資産(仮想通貨)取引所コインチェックのIEO第3弾として注目されるブリリアンクリプトトークン(BRIL)。投資家が期待する3つの理由について、過去の国内IEOとの比較や親会社コロプラの強み、需給面やロードマップなどから分析。
17:49
深刻化する仮想通貨の盗難被害を専門家が分析、リスクと対策を解説|KEKKAI共同企画
仮想通貨投資家のGrypto氏がマルウェア被害でデジタルウォレットの資金を抜かれ大きな損失を被った事例が発生しました。さらなるハッキング被害を抑止するため、Web3セキュリティアプリ開発KEKKAIとCoinPostの共同企画で、ハッキングの手法や対策について解説します。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア