今日の情報が、明日の君をつくる。

分散型取引所Bancorのセキュリティに重大な脆弱性を発見。455349ドルの資金流出につながった可能性も。

イーサリアム(ETH)などのブロックチェーン向けDEX(分散型取引所)を提供しているBancorが実装した新たなスマートコントラクトにバグが発見されました。455349ドル(約4868万円)もの資金が流出する可能性があったものの、現在安全が確保されています。

Bancorのスマートコントラクトにバグ

6月18日、Bancorはツイッター上で2日前にリリースしたBancorNetwork v0.6の新しいスマートコントラクト・プロトコルにバグがあり、セキュリティに脆弱性を発見したと報告しています。

コントラクトだけに限定されている機能「safeTransferFrom」が一般公開されてしまい、特定のコントラクトのみに承認されるトークンが誰でも使用できる状態にあったとのことです。

今回、実装したスマートコントラクトには「infinite approves(無限承認)」と呼ばれる誰かが別のウォレットのトークンを盗み出すことができるERC-20の機能が働いており、誰でもユーザーの資金を盗めることができたとされています。

その結果、455349ドル(約4868万円)ものユーザーの資金が流出する可能性があったものの、Bancorはすぐに問題を特定し資金を安全なウォレットに移動させました。

運営がホワイトハッキングで調査

Bancorはバグの影響を調査し、455349ドルを移動させるためにホワイトハッキングを行っていました。

これによりユーザー資金は安全だったものの、バグを検知した2つのアービトラージボットが稼働しており、135229ドル(約1450ドル)もの利益を得ていたことが分かっています。

Bancorはすでにこのアービトラージボットの所有者へ連絡を取り、バグの報奨金と引き換えに利益をすべて返すよう交渉しています。

また過去48時間以内に取引を行ったユーザーに対し、3つのスマートコントラクトアドレスを公開し、関連付けられている場合にはバグの影響があるとして専用のサイトを通じて承認を取り消すよう促しています。

実際、ツイッター上には資産が無くなったとの報告も出ており、そのうちの1人は10000BNT(約86万円)以上を失ったと主張しています。

なお現在は、エラーが再発しないよう新たなネットワークコントラクトがプッシュされBancorシステム内の取引は正常に戻っているとのことですが、今回の出来事によりコミュニティの間では監査が実施されているのか?監査によってセキュリティが保てるのか?疑問が取りざたされています。