Flowの詳細 $3.9Mの脆弱性：Cadenceの欠陥によりトークンの複製が可能に

出典：DefiPlanet オリジナルタイトル：Cadenceの欠陥によりトークン複製を許した$3.9Mの脆弱性の詳細 オリジナルリンク：

クイック概要

• Cadenceのランタイムの欠陥によりトークンの複製が可能となり、確認された損失は$3.9Mに上った。
• ユーザの残高は流出せず、ほとんどの偽造資産は清算前に凍結された。
• Flowはこの問題を修正し、より厳格なセキュリティと監視体制を導入した。

技術的詳細

Flow財団は、攻撃者がネットワーク上でトークンを偽造できるプロトコルレベルの脆弱性を説明する技術的な事後報告を公開し、事件の収束前に推定$3.9百万の損失を引き起こした。

この脆弱性は12月27日に発生し、FlowのCadenceランタイムの欠陥に起因しており、特定の資産が適切に鋳造される代わりに複製されることを可能にした。これにより供給制御を回避したが、既存のユーザ残高の流出やアクセスはなかった。

バリデーターは悪意のある活動を検知し、最初の脆弱性取引から6時間以内にネットワークの停止を調整した。停止中、ブロックチェーンは読み取り専用状態に置かれ、さらなる資産の複製を防止した。一方、主要な取引所パートナーは偽造トークンの売却前にほとんどを凍結した。

Flowは、「孤立した回復」プロセスを経て、2日後に通常運用を再開した。この過程で正当な取引履歴を保持し、ガバナンスの承認を通じて偽造資産の回収と恒久的な破壊を実現した。

財団は、資産の削除ではなく複製に関わる脆弱性だったため、ユーザ資金は盗まれなかったと強調した。偽造トークンと関わった少数のアカウントは一時的に制限されたが、回復期間中も99%以上のユーザは完全なアクセスを維持した。

セキュリティパッチと今後の対策

攻撃者は大量の偽造トークンをオンチェーン上に作成したが、Flowはほとんどを回収または凍結し、清算前に封じ込めたと述べている。

基盤となる脆弱性は既に修正されており、財団はより厳格なランタイムチェック、拡張されたリグレッションテスト、強化された監視ツールを導入した。Flowはまた、フォレンジック専門家や法執行機関と協力し、今後もバグバウンティやセキュリティ強化プログラムを推進していく。

市場の状況

Flowは2019年にDapper Labsによって立ち上げられ、NFTブームの2021年にNBA Top Shotを通じて早期に注目を集めた。これにより、FLOWトークンは$40 まで上昇した。

このプロジェクトは2022年にAndreessen HorowitzやUnion Square Venturesを含む投資家から約$725 百万を調達したが、NFT活動の減少に伴い勢いは鈍化した。現在、FLOWは時価総額でトップ300外の暗号資産となっている。