スローミスト、ONTRトークンの脆弱性悪用で約9万8000ドル被害

ブロックチェーンセキュリティー企業のスローミスト（SlowMist）は、ONTRトークンのコントラクトの脆弱性を突いた攻撃で、約9万8000ドルの被害が発生したと明らかにした。

スローミストは5月29日、X（旧ツイッター）への投稿で、ONTRトークンコントラクトのアクセス制御の脆弱性が攻撃に悪用されたと指摘した。被害額は49.4801WETHで、約9万8315ドルだった。

同社によると、脆弱性はONTRトークンコントラクトの「onlyOwner」修飾子にあった。所有者アドレスがゼロアドレス（address(0)）に設定されている場合、任意のアドレスが権限チェックを通過できる構造だった。

攻撃者はこの欠陥を利用して所有権移転関数を呼び出し、攻撃用コントラクトを所有者に設定した。その後、隠し残高をキューに追加したうえで特定の関数を実行し、総供給量を増やさずにアドレス残高を直接水増ししたとみられる。

攻撃者はこうして生成したトークンをパンケーキスワップ（PancakeSwap）の流動性プールに送った後、WETHに交換した。スローミストは、今回の攻撃について、トークンコントラクトのアクセス制御の脆弱性を悪用して残高を任意に増やし、正常な自動マーケットメーカー（AMM）の流動性プールからWETHを奪った事例だと説明した。