分散型ネットワークTruebitは、スマートコントラクトの重大な欠陥を突かれ、約2,600万ドル相当のネイティブTRUトークンが不正に生成される壊滅的なエクスプロイトに見舞われました。この事件は、分散型金融(DeFi)のアップグレード可能なプロキシパターンに関連する、根強いセキュリティリスクを浮き彫りにしています。
**再初期化の脆弱性が原因**
調査により、TruProxyコントラクトに起因する「再初期化の脆弱性」が迅速に特定されました。これは、Universal Upgradeable Proxy Standardなどのアップグレード可能なアーキテクチャで危険視される共通の欠陥です。標準的なデプロイメントでは、所有権や管理パラメーターの設定のために初期化関数(`initialize()`)は一度だけ呼び出されます。しかし、Truebitの実装では、この関数へのその後の呼び出しを適切に制限できていませんでした。
攻撃者はこの見落としを悪用し、`initialize()`関数を再実行することで所有権を自身のウォレットアドレスに再割り当てしました。プロキシに対する管理者権限を得た攻撃者は、その特権を利用して大量のTRUトークンを不正に生成する機能を行使しました。
**市場への影響と対応**
不正生成された2,600万ドル相当のTRUトークンは市場で急速に売却され、トークンの価値は大幅に急落しました。Truebitチームは直ちに対応し、さらなる被害を防ぐためにTRUのすべての送金と取引を一時的に停止しました。チームは、ハードフォークや初期化ロジックを修正した監査済みの新しいコントラクトのデプロイを通じて、問題の修正に取り組むことを約束しました。この事件は、プロキシコントラクトにおけるアクセス制御と初期化シーケンスに焦点を当てた、厳格な第三者による監査が不可欠であることを、暗号エコシステム全体に対して強く再認識させるものとなりました。
Source: Truebit exploit exposes smart contract flaw behind $26M token mint
コメント