GoPlus SecurityがListaDAOの流動性ステーキングVaultの脆弱性に関する重要な分析を公開したのを見たばかりで、正直なところこれはステーキング分野のすべての人にとって非常に重要なリマインダーです。

何が起こったのか：攻撃者はListaDAOのコントラクトに論理的な欠陥を見つけ、それを利用してDividendコントラクト内のシェア計算機能を操作しました。特定のトークン移転時にこれをトリガーすることで、報酬請求の仕組みを破壊し、大量の資産を流出させました。かなり高度な攻撃です。

しかし私の注意を引いたのは、GoPlusがこの脆弱性が流動性ステーキングVaultとDividendコントラクトの両方に存在すると指摘している点です。つまり、これらの実装をフォークまたは再利用したプロジェクトも潜在的にリスクにさらされているということです。これはListaDAOだけの問題ではありません。

より広い意味合いとしては、これはなぜ近似ステーキングプロトコルや類似の利回りメカニズムに対して厳格な監査が必要なのかを浮き彫りにしています。スマートコントラクトにより複雑な金融ロジックが組み込まれる中で、ビジネスロジックのわずかな欠陥が大きな損失に繋がる可能性があります。重要なのは、コードが正しく動作するかだけでなく、経済設計自体に穴がないかどうかです。

GoPlusは最後に、スマートコントラクトの監査は一度きりのチェックボックスではないとし、報酬分配やシェア計算に関しては継続的に見直す必要があると指摘しています。

もしあなたがステーキングや利回りプロトコルに関わっているなら、これは深く掘り下げる価値があります。開発者は今すぐにでも自分たちのコントラクトに類似の脆弱性がないか見直すべきです。