戻る

脆弱なスマートコントラクト経由でBaseネットワークから21万9千ドル盗難

CertiK Alertは、未検証コントラクトの安全でないスワップコールバックを利用するBaseチェーンのエクスプロイトを警告し、55 WETHの盗難と過去のユーザー承認の取り消しを呼びかけた

WETH

要約

CertiK Alertは10月30日、Baseブロックチェーン上の未検証コントラクトが悪用され、事前に承認済みのユーザーから約55 WETH(約22万ドル)が失われたと報告した。脆弱性は権限管理が不十分なコントラクトのuniswapV3SwapCallback()関数に存在し、これにより無許可の資金移動が可能となっていた。ユーザーには、さらなる損失リスクを軽減するため、当該コントラクトへの承認を取り消すよう勧告している。

用語解説
  • Access Control: スマートコントラクトにおいて、特定の操作を許可された主体にのみ制限する仕組み。不適切な実装は無許可の操作を許してしまう可能性がある。
  • WETH: Wrapped Etherの略称で、イーサリアムを表すERC-20トークン。スマートコントラクト規格との互換性を保つため、分散型アプリケーションで利用される。
  • uniswapV3SwapCallback(): ユニスワップV3におけるトークンスワップ時に使用されるコールバック関数で、安全でない場合は適切な承認なしに資金が移動される恐れがある。