先日のセキュリティ分析で面白い事例が出てきました。ListaDAOのステーキング関連のコントラクトが狙われたんですが、単純なバグではなくロジックの設計に潜んでいた脆弱性が原因だったみたいです。

GoPlus Securityの報告を見ると、Liquid Staking Vaultのコントラクトに対する攻撃があったようで、攻撃者はDividendコントラクトのシェア計算機能をうまく利用したとのこと。特定のトークンを送金するときにこの計算関数がトリガーされ、ステーキング金庫の報酬配分ロジックに干渉することで、結果的に大量の資産を引き出すことに成功してしまったわけです。

注目すべきは、このロジックの問題がLiquid Staking Vault側とDividendコントラクト両方に存在していたということ。つまり、これと同じ実装をコピーして使ったプロジェクトや、類似の設計をしたフォークプロジェクトも同じリスクを抱えてる可能性があるってことですね。悪用されるリスクはかなり高いと見られています。

開発チームへの提言としては、やはり監査の重要性が改めて浮き彫りになった形。単発の監査だけに頼るのではなく、継続的なセキュリティ検証とステーキング関連のロジック設計の見直しが必要不可欠だということが強調されています。スマートコントラクトのセキュリティは一度の監査で終わりではなく、常に注視し続ける必要があるんだなと改めて感じさせられる事例です。