Coin界网消息によると、SlowMistの監視で、分散型チップ(打賞)プロトコルDrips Networkが攻撃を受け、損失は約2.49万枚のDAIにのぼる。SlowMistの分析では、攻撃の根本原因はdaidripshubコントラクト内のgive(address,uint128)関数における整数型変換の欠陥にある。同関数は、検証済みの入力値がint128の最大値を超えていないかどうかを確認しないまま、uint128型の金額をint128型へ変換する。攻撃者は、int128の範囲外となる特定の数値を渡して、変換後の金額を負数にし、送金の方向が反転することで、準備金(レザーブ)コントラクトが攻撃者のアカウントに対して異常な引き出しを実行し、最終的に準備資金が枯渇した。
原文表示