Avalancheブロックチェーンに基づくプラットフォームであるStars Arenaは、わずか数日の間に2つの大きな攻撃を受け、数百万ドルの損失を被った。アプリケーションのスマートコントラクトは完全に空になりましたが、スターズアリーナチームは、プラットフォームが間もなくすべてのユーザーの資金を回復して再スタートすると発表しました。
スターズ・アリーナ、数日後に2度目の攻撃
の被害に遭う。
Avalancheブロックチェーン上でホストされているfriend.techのフォークであるStars Arenaは、そのスマートコントラクトの1つに欠陥があったため、ローンチ直後に約300万ドルが流出した。
その2日前、Stars Arenaはすでに同様の欠陥で2,000ドルを奪われていた。プロジェクトチームは、悪意のあるアクターが彼らに対して「協調攻撃」を行ったと主張することで自分たちを擁護したが、0xlilitchや0xfoobarを含む多くのオブザーバーは、Stars Arenaを激しく攻撃した。
例えば、Delegateの創設者である0xfoobarは、彼らが機能的なスマートコントラクトをコピーし、それに攻撃機会を追加したと非難した。
「あなたは完全に機能するベースコントラクトをコピーし、未検証のフォークに新しい攻撃ベクトルを追加しました。これはサーカスだ。
競合のfriend.techのように、Stars Arenaではアプリ上の有名人のプロフィールのシェアを獲得することができる。プロフィールのシェアを持っている人が多ければ多いほど、そのプロフィールのシェアの価格は高くなる。
今回、ブロックチェーンセキュリティ企業PeckShieldによると、攻撃者は再入場攻撃を行い、実際の価格よりもはるかに高い価格でシェアを転売することを可能にした。
Our initial analysis on today’s @starsarenacom $2.9M hack indicates a reentrancy issue on the Stars Arena: Shares contract at https://t.co/Hg6C8MCPan
このリエントランシーが悪用され、シェア/チケットが発行される際にウェイトが更新されるため、1シェアをはるかに高い価格で売却することができる… https://t.co/17CxO3uLbe pic.twitter.com/fouVjevYTs
– PeckShield Inc. (@peckshield) October 7, 2023
Stars Arenaは後日、Xへの攻撃を確認し、ユーザーにプラットフォームへの入金を停止するよう促した
。
スマートコントラクトが空になったとしても、プロジェクトは力強く前進するつもりです
今日の午後、Stars Arenaはユーザーを安心させるため、X上で再びコミュニケーションを行った。プロジェクト担当チームによると、アプリケーションはまもなく「全資金全額」で再開されるとのことです
。
Important news: エクスプロイトによるギャップを埋めるためのリソースを確保しました。
さらに、特別なホワイトハット開発チームが入り、プラットフォームのセキュリティを迅速に見直します。
完全なセキュリティの後、全資金で契約を再開する予定です…
– Stars Arena (@starsarenacom) 2023年10月7日
” 重要なお知らせ:我々は、エクスプロイトによるギャップを埋めるために必要なリソースを確保しました。さらに、ホワイトハット開発者の特別チームが到着し、プラットフォームのセキュリティを迅速に見直します。完全なセキュリティ監査の後、全額出資で契約を再開する予定です。これは非常に近いうちに行われるでしょう。数時間後にSpacesでお会いしましょう。私たちはどこにも行きません。アリーナは前進する」
Avalancheの創設者であるEmin Gün Sirer氏は、「Stars Arenaは収益性の高い製品」であり、盗まれた約300万ドルはアプリの収益性のおかげで「10日程度で」回収できると主張し、X上でプラットフォームの救済に乗り出した
。
ピーク時にfriend.techのイーサリアム・ブロックチェーンで見られたように、Stars Arenaのローンチによって生じた興奮は、Avalancheでの取引手数料の上昇を一瞬引き起こした。これはAVAXトークンの価格上昇にもつながったが、現在は反落している。AVAXは本稿執筆時点で約10.4ドルで取引されている
。