Minswap チームは、誰かがスマートコントラクト内のすべての流動性を流出させることができる重大な脆弱性があることを自身のブログ記事『Vulnerability Patch: Technical Details and Steps Forward』で発表しています。
これを防ぐために安全策を講じた後、チームはこの同じ脆弱性を利用して、すべてのユーザーのすべての流動性を、パッチを適用した安全な新しいコントラクトに移行させたと説明しています。
Minswapは、3月22日にスマートコントラクトと監査報告書をオープンソース化した後、Minswap DEXのコントラクトに重大な脆弱性があるとの警告を受け、Minswapでは脆弱性を確認し、プライベートテストネット上での再現に成功し他とのこと。
この結果、現在、当社のDEXでのバッチ処理はMinswap Teamによって行われていることから、この脆弱性が悪用されることを防ぐために、直ちにすべての注文を検閲し、解決策に注力することを決定したと説明しています。
本稿執筆時点では、この脆弱性は修正され、すべての資金は安全な状態にあると説明しています。
これについてcoingapeが記事で伝えています。
以下はcoingape.comに掲載された記事「Cardano-Based DEX MinSwap Fixes Vulnerability That Could Have Cost Millions」を翻訳したものです。
カルダノベースのDEX「MinSwap」、数百万ドルの犠牲を出す可能性があった脆弱性を修正
By Oluwapelumi Adejumo 2022年3月26日
カルダノベースの分散型取引所であるMinswapは、チームに巨額の損失をもたらす可能性があった重大な脆弱性をプロトコルが修正するメンテナンスモードを完了したことを明らかにした。
同チームが公開したブログ記事によると、開発者にスマートコントラクトの監査を許可していたため、3月22日に初めて脆弱性を指摘されたという。これにより、”誰かがスマートコントラクト内のすべての流動性を流出させるような重大な脆弱性 “が特定されたのです。
発見された脆弱性
Minswap は、この脆弱性によって悪者が「プール NFT トークンを複製して造幣し、その NFT トークンを使って任意のプールの LP トークンを無限に造幣する」ことが可能であることを明らかにしました。
しかし、チームは、新しいスマートコントラクト上に作成された新しい流動性プールに流動性を排出するためにエクスプロイト自体を使用したため、この不愉快な状況の発生を防ぐことができたのです。
Minswapチームは、チームがどのように恣意的に流動性をあるスマートコントラクトから別のスマートコントラクトに移動させたのかを疑問視する神経を静めることができた。これらの疑惑に対して、チームはこう書いている。
Minswapチームは、あるスマートコントラクトから別のスマートコントラクトへ、自らの意思で流動性を移行することはできません…脆弱性を利用することで、このベクトルにパッチを当てた新しい、アップグレードしたコントラクトに資金を移行することが可能になったのです。
Minswapは、ユーザーの資金は安全であると述べている。
Minswapは、50時間の不具合にもかかわらず、DEX上のすべてのユーザーの資金は安全であり、各ユーザーの資産ポジションは影響を受けていないことを明らかにした。
また、ユーザーへの補償として、MIN/ADAの流動性プロバイダーには3月25日までNFTのブーストが与えられたと述べている。
Minswapチームは、スマートコントラクトのエラーがユーザーの数百万ドルの損失につながらなかったことは幸運だった。いくつかのDeFiプロジェクトは、悪意のあるプレイヤーにスマートコントラクトを悪用され、莫大な損失を記録しており、それほど幸運ではありませんでした。
このため、DeFiチームは常に自分たちのプロジェクトを監査し、常にユーザーを保護する手助けをする必要があるのです。