脆弱性検証プラットフォーム「ハッカーワン(HackerOne)」のユーザー「lucash-dev」は10月1日、ステーブルコイン「DAI(ダイ。Dai)」を発行する分散型金融(DeFi)プロジェクト「メーカーダオ(MakerDAO)」が次期バージョンで計画している「MCD(複数担保Dai。Multi-Collateral Dai)」アップグレードの重大な不具合を明らかにしたレポートを公開した。
この不具合により、悪意のある攻撃者は、MCDシステムに保存されているすべての資金を(1回の取引で)盗めた可能性があったという。現在メーカーダオによりGithubで修正されており、lucash-devには賞金として5万ドル(約534万円)が授与された。
メーカーダオは、スマートコントラクトとコードで完全に管理する分散型自律組織(DAO)。DAI(Dai)は仮想通貨の1種で、1米ドル=1DAIで交換できるよう設計された、仮想通貨イーサリアム(ETH)のERC-20規格を基にしたステーブルコインだ。
ユーザーは、メーカーDAOの独自スマートコントラクト「CDP(Collateralized Debt Positions、担保付債務ポジション)」を利用し、ETHを担保資産にローンを組成してDAIを発行する形態を採用しており、その手数料としてMKR(ユーティリティトークン)が必要になる。
MCDは、メーカーダオが次期バージョンとして計画しているアップグレードで、DAI以外にもERC-20規格で作成された複数の仮想通貨をCDPで扱えるようになる予定という。
今回の不具合は、(一般的な)ユーザーにはアクセスできないMCDアップグレードテスト段階で発見された。lucash-devのレポートによると、メーカーダオのスマートコントラクトは、(資金に対する)アクセス制御が完全に欠如しており、第三者による攻撃が可能であったという。
「(実装の一部の)flip.kickメソッドが検証を行わないため、(MCDにおいて)攻撃者は偽の入札値でオークションを作成できる。endコントラクトはその価値を信頼しており、清算中に任意の数量の無料DAIを発行するために悪用される可能性がある。攻撃者は、この任意の数量のDAIとして、endコントラクトによって保存されているすべての資金を取得できる」
翻訳・編集 コインテレグラフ日本版