5月19日、NEO公式アナウンスで一部のNEP-5系のスマートコントラクトのコードにストレージインジェクションの脆弱性が発見されたとの報告がセキュリティ監査会社「Red4Sec」より報告されたそうです。
neo.org/blog
この”NEP-5系”とはNEOのネットワークを利用したイーサリアムで言うERC20トークンと同様の位置にあるトークンで、今回の脆弱性はその一部のトークンのスマートコントラクトのコードの中に、悪用され、攻撃される可能性がある部分が見つかったということです。
ただし、NEO自体のブロックチェーンで、この脆弱性による悪影響は受けないということ。
攻撃内容は技術的な内容を含むため、僕にとって理解するに難しいものですが、説明では以下のような内容になっています。
“攻撃者は一定量のトークンを焼き付けて、契約内のtotalSupplyの状態を変更することができる”
実際の数量は変わらずに見た目の量のみが変わり、攻撃自体にそもそもコストがかかるとのことで被害のリスク自体は限られるとのことです。
なお、このバグによる脆弱性はすでに修正案が出されているそうなので、関連プロジェクトの技術者はそれらの指示に従っているようです。
おそらく、何かしらの危険があった場合は、NEP-5系トークンの保持者は取引所などから指示を受けるはずです(その前に修正が入るはずですが)。
これ自体は仮想通貨とは関係ない事柄で、他のソフトウェアでも日常的に起こりうる自体なので、別に”仮想通貨だからそうなった”というわけではありません。
NEOでは、実際に被害が出る前にこのような声明を出しているので、常にプロジェクト内部の修正を行い、セキュリティーにはかなり気を配っているものと見受けられます。
[ad]