Curio、投票権の脆弱性により16,000,000ドルの悪用被害に遭う
Curioは、企業の現実世界の資産からの流動性の促進に焦点を当てたプロジェクトですが、議決権特権の脆弱性に関連するスマートコントラクトの悪用の被害に遭いました。
Curioは、影響を受けた流動性プロバイダーに対して資金補償プログラムを実施する予定ですが、完了までに最大1年かかる可能性があると述べました。
Curio、スマートコントラクトの悪用と投票の脆弱性を報告、ユーザーに迅速な行動とセキュリティ対策を保証
🚨ALERT🚨@curio_invest has experienced a $16M exploit involving a smart contract based on @MakerDAO within their ecosystem!
The exploit appears to stem from a permission access logic vulnerability. The attacker leveraged this vulnerability to mint an additional 1B $CGT.… https://t.co/xWvvYzrWaI pic.twitter.com/mdrKyV3t9U
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) March 25, 2024
Web3セキュリティ会社Cyversによると、このハッキングは許可されたアクセスロジックの脆弱性が原因で発生した可能性が高いとのことです。この脆弱性により、攻撃者はさらに1,000,000,000のCGTトークンを作成することができ、その結果、ハッカーは約16,000,000ドル相当のCGTトークンを入手しました。
CyversAlertsのメッセージは、Curioが3月23日にスマートコントラクトのエクスプロイトについてコミュニティに警告した後に発行されました。
Community Alert: We've just been notified of a smart contract exploit within our ecosystem. Unfortunately, MakerDAO’s based Smart contract used within our ecosystem were exploited on the Ethereum side. We're actively addressing the situation and will keep you updated. Rest…
— Curio Ecosystem | Tokenize The World (@curio_invest) March 23, 2024
CurioはXへの投稿を通じてコミュニティにエクスプロイトを通知し、この状況に積極的に対処していることを保証しました。Curio内で利用されているMakerDAOベースのスマートコントラクトが侵害されたことが明らかになりました。
さらに、イーサリアム側のスマートコントラクトのみが影響を受け、PolkadotとCurio Chain上のすべてのコントラクトは安全なままであることをユーザーに保証します。Curioエコシステムチームは次のように述べています。
”残念ながら、私たちのエコシステム内で使用されているMakerDAOベースのスマートコントラクトがイーサリアム側で悪用されました。私たちはこの状況に積極的に対処しており、最新情報をお知らせします。すべてのポルカドット側とCurioチェーンの契約は安全なままですので、ご安心ください。”
3月25日、Curioはエクスプロイトに関する事後報告書と影響を受けたユーザーへの補償計画を発表しました。報告書では、この問題は投票権特権のアクセス制御の欠陥に起因すると概説しました。
攻撃者はいくつかのCurio Governance(CGT)トークンへのアクセスを取得し、プロジェクトのスマートコントラクト内で投票力を高めることができました。攻撃者は投票権を高めて、Curio DAOコントラクト内で任意のアクションを実行できるようにする一連の手順を実行し、最終的には大量のCGTトークンの不正鋳造につながりました。
Curio、エクスプロイト後の回復計画と補償プログラムを発表
🚀Exciting news! CurioDAO's recovery strategy from the recent exploit is underway. Here's what's happening:
– Swift Response: Our team acted immediately to contain the impact.
– Enhanced Security Measures: Implementing robust security protocols to prevent future incidents.
-…— Curio Ecosystem | Tokenize The World (@curio_invest) March 25, 2024
このエクスプロイトを受けて、Curioは失われた資金の回収に協力したホワイトハットハッカーに報酬を与える計画を発表しました。同チームは、ハッカーは初期回収段階で回収した資金の10%に相当する報酬を受け取る可能性があると述べました。
Curioチームはまた、攻撃の影響を受けた資金はすべて影響を受けた当事者に返還されると述べました。これを促進するために、チームはCGT2.0と呼ばれる新しいトークンの作成を発表しました。これは、CGT保有者の資金を100%回復するために使用されます。
さらに、Curioは、エクスプロイトの影響を受けた流動性プロバイダーに対する資金補償プログラムの概要を説明しました。補償プログラムは4段階に分けて実施され、各段階は90日間続きます。
各段階で、流動性プール内の2番目のトークンによって発生した損失の25%に相当する補償がUSDCまたはUSDTで支払われます。この段階的なアプローチは、補償が完了するまでに最大1年かかる可能性があることを示唆しています。
2月のハッキングや詐欺による損失は約67,000,000ドルに減少し、1月の約半分となりました。すべての攻撃ベクトルは分散型金融(DeFi)セクターに関連していましたが、集中型プラットフォームは影響を受けませんでした。
2月の損失のほとんどはゲームプラットフォームPlayDappと分散型取引所FixedFloatのハッキングによるもので、合わせて58,450,000ドルの損失となりました。さらに、暗号通貨カジノのDuelbitsは、秘密鍵の漏洩により4,600,000ドルの損失を被りました。