Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スマコンマルチシグ事故事例集

 スマコンマルチシグ事故事例集

Masahiko Hyuga

July 09, 2020
Tweet

More Decks by Masahiko Hyuga

Other Decks in Technology

Transcript

  1. ①The DAO事件 2 Copyright 2017-2020 Fressets inc, All rights reserved.

    スマートコントラクトの脆弱性による約 360万ETH(当時約52億円)の盗難 ▼参考リンク https://gentosha-go.com/articles/-/17332 2016年ファンドをスマートコントラクトによって実現した”The DAO” DAOには運営に賛同しない場合、預けていた資金を切り離せる”Split”機能がある ファンドでの報酬送金を何回も実行できるバグがあり、ハッカーが資金を盗みだすことに成功 盗難を無効化するハードフォークが実施され、 元のチェーンはEthereum Classicとして残った The DAO ETH 送金 The DAO ETH 送金 想定は1回だけ ETH ETH 送金 送金 バグで送金を何度 も実行できた
  2. ②ParityマルチシグウォレットでETH凍結 3 Copyright 2017-2020 Fressets inc, All rights reserved. マルチシグウォレットの脆弱性で約

    60万ETH(当時約150億円)が凍結 ▼参考リンク https://japan.zdnet.com/article/35110116/ https://coinpost.jp/?p=8479 2017年11月、Ethereumのウォレット「Parity」にて “Kill”コマンドでウォレットを破壊できるバグ この事故を無かったことにするハードフォークを 実施すべきかの議論が巻き起こったが行われず Parityマルチシグウォレットは587 個あり、全てが凍結されて復旧で きない状態に
  3. </> ③ERC20準拠トークン BatchOverflowのバグ 4 Copyright 2017-2020 Fressets inc, All rights

    reserved. 2018年4月、暗号資産取引業者での一部 ERC20トークン取引停止 ▼参考リンク https://blockchain.gunosy.io/entry/erc20-token-Vulnerability スマートコントラクトの“BatchOverFlow”関数のバグにより オーバーフロー(桁溢れ)によって想定していない巨額のERC20の送付が可能に トークン 送付 チェック通過 スマートコントラクト 増殖 トークン トークン トークン トークン
  4. ④分散型取引所「AirSwap」で脆弱性発見 5 Copyright 2017-2020 Fressets inc, All rights reserved. 2019年9月、スマートコントラクトの脆弱性により資金損失のリスクが発生

    ▼参考リンク https://jp.cointelegraph.com/news/developers-of-ethereum-dex-protocol-airswap-disclose-critical-exploit https://medium.com/fluidity/critical-vulnerability-in-a-new-airswap-smart-contract-c1204e04d7d3 MakerとTakerをP2Pで直接取引させる分散型取引所のAirSwapでスマートコントラクトの脆弱性が発見された。 24時間以内にコントラクトは修復されたものの、一部のアドレスはその後も資金損失のリスクに晒された。 一方の署名がなくてもトークンの交換が できる状態 ✔ ×