DeFiプラットフォームNew Gold Protocol (NGP)は、水曜日に攻撃の犠牲となり、プロジェクトは約2百万USDの損失を被りました。オンチェーンセキュリティ会社Blockaidによると、ハッカーはNGPのスマートコントラクトの価格オラクルメカニズムの脆弱性を悪用しました。
NGPのオラクルは、トークンの価格を決定するためにgetPrice()関数を使用します。この関数は、Uniswap V2の取引ペア内のリザーブに直接参照します。
ハッカーは大量のトークンでフラッシュローンを実行し、その後プール内の準備率を大幅に変更するために交換しました:
結果: getPrice() は、NGP の価格が非常に低いことを報告しています。これにより、ハッカーはスマートコントラクトの取引制限を回避し、安価で大量の NGP トークンを購入することができます。
Blockaidは次のように述べています:「単一のDEXプールからのスポット価格を使用することは非常に危険です。なぜなら、ハッカーはフラッシュローンを使ってアトミックトランザクションで流動性を操作できるからです。」
👉 この事件は、(シングルソースオラクル)からのセキュリティリスクと、スマートコントラクトを展開する前に厳密な監査が必要であることを強調しています。
37.6K 人気度
40.7K 人気度
42.4K 人気度
41.4K 人気度
6.4K 人気度
New Gold ProtocolがBNB Chainのオラクルの脆弱性により200万USDがハッキングされました
DeFiプラットフォームNew Gold Protocol (NGP)は、水曜日に攻撃の犠牲となり、プロジェクトは約2百万USDの損失を被りました。オンチェーンセキュリティ会社Blockaidによると、ハッカーはNGPのスマートコントラクトの価格オラクルメカニズムの脆弱性を悪用しました。
攻撃方法
NGPのオラクルは、トークンの価格を決定するためにgetPrice()関数を使用します。この関数は、Uniswap V2の取引ペア内のリザーブに直接参照します。
ハッカーは大量のトークンでフラッシュローンを実行し、その後プール内の準備率を大幅に変更するために交換しました:
結果: getPrice() は、NGP の価格が非常に低いことを報告しています。これにより、ハッカーはスマートコントラクトの取引制限を回避し、安価で大量の NGP トークンを購入することができます。
Blockaidは次のように述べています:「単一のDEXプールからのスポット価格を使用することは非常に危険です。なぜなら、ハッカーはフラッシュローンを使ってアトミックトランザクションで流動性を操作できるからです。」
結果
バックグラウンド
👉 この事件は、(シングルソースオラクル)からのセキュリティリスクと、スマートコントラクトを展開する前に厳密な監査が必要であることを強調しています。