プロトコルが移行した後も、古いスマートコントラクトは長期間にわたり危険なまま残る可能性があります。
SlowMistの分析によると、Aztec Connectからの219万ドルの盗難事件が再び注目を集めています。被害に遭った契約は、アクティブなAztecネットワークではなく、廃止されたレガシーシステムの一部でしたが、この出来事はDeFiユーザーおよび開発者にとって重要な警告です。
要約
- SlowMistは、Aztec Connectの廃止されたレガシーインフラに影響を与えた219万ドルの攻撃を分析しました。
- 主な分析では、アクティブなAztecネットワークが侵害されたとは述べられていません。
- この問題は、製品が廃止された後もチェーン上に残り続ける不変契約のリスクを浮き彫りにしています。
- ユーザーにとって、教訓はシンプルです。古いプロトコルのインターフェースや放棄された契約でも、依然として実際の財務リスクを伴う可能性があります。
非推奨は常に無害であるとは限りません
従来のソフトウェアでは、廃止された製品はパッチを適用したり、シャットダウンしたり、ユーザーのアクセスから完全に削除したりすることがよくあります。一方、オンチェーンシステムは異なります。スマートコントラクトが不変であり、資産や権限を保持し続けている場合、それは生きている攻撃面として存続し続ける可能性があります。
これはSlowMistが分析したAztec Connectの攻撃から得られる不快な教訓である。この契約はすでに廃止されたレガシーシステムの一部だったが、攻撃者は依然としてそれを標的にした。この事件に関する報告では、その他のレガシーコントラクトに関する懸念も指摘されているが、最も明確な一次情報は219万ドルのAztec Connect事例を支持している。
その違いは重要です。これは現在のAztecネットワークが侵害されたという話ではありません。これは、製品がもはや推奨されていないため、リスクが消えたとユーザーが思い込む可能性のある、古いスマートコントラクトの長尾に関する話です。
不変性のトレードオフ
暗号通貨では不変性が特徴と見なされることが多く、多くの面でその通りです。ユーザーは、市場状況が不都合になった際にプロトコル運営者がルールを書き換えることを望んでいません。しかし、不変性にはもう一つの側面があります。欠陥や脆弱性が露呈した契約を一時停止またはアップグレードできない場合、何か問題が発生した際に開発者が対応する余地がほとんどなくなる可能性があります。
アズテックのレガシー問題は、この広範なトレードオフに当てはまります。開発チームが新しいシステムに移行した後でも、古いインフラはチェーン上に残り続けることがあります。ユーザーが資金を残したまままたは古いコントラクトとのやり取りを継続すると、プロトコルの現在の開発ロードマップではそれらを保護できない可能性があります。
これはDeFiにとって混乱したセキュリティ上の問題を生み出します。開発者は警告を掲示し、インターフェースを段階的に終了し、移行を推奨できますが、すべての古いコントラクトを削除できるとは限りません。一方、攻撃者は資産、エッジケース、忘れられた権限を継続してスキャンし続けることができます。
トレーダーとユーザーが注目すべき点
一般のユーザーにとっての実践的な教訓は、古い契約を注意して扱うことです。なじみのあるプロトコル名が、古いインターフェースやブリッジが安全であることを自動的に意味するわけではありません。どのレガシーコントラクトとやり取りする前にも、プロトコルがまだそれをサポートしているか、資金がまだ監視されているか、公式な移行パスが存在するかを確認してください。
開発者にとって、この出来事は、サニセット計画をプロトコル設計の一部とすることが重要であるという教訓です。システムの非推奨化はリスクを除去することと同じではありません。管理者の制御が意図的に制限されている場合、明確な警告、引き出し期間、モニタリング、緊急対応手順がすべて重要です。
重要な点は、不変のコードが悪いということではありません。重要な点は、不変性が運用上の纪律をより重要にすることです。コードが公開され、変更できなくなった後、放置されたインフラストラクチャが何年にもわたってセキュリティの境界の一部となる可能性があります。
この記事はニュースデスクによって執筆され、Samuel Raeによって編集されました。
このレポートは、SlowMistの情報に基づいています。