コインベースのレイヤー2ブロックチェーンであるBaseとTelegramメッセージアプリ上に構築されたGameFiプロジェクト「スーパー・スシ・サムライ(SSS)」は3月21日、ホワイトハットハッカーを名乗る人物による流動性プールからの480万ドルの不正流出が発生したことを発表した。

ブロックチェーン分析会社CertiKはコインテレグラフへの声明の中で、「脆弱性は[SSS]コントラクトの_update()関数にあり、selfへの転送時に残高を正しく更新しない」と指摘している。そのため、ユーザーがSSSトークンの全残高を自身に転送すると、結果的に残高が2倍になるという。

The @SSS_HQ $SSS LP was just drained on blast because their token contract has a bug where transferring your entire balance to yourself doubles it.

The order of operations decrements the balance for "from" and then sets the balance for "to" - if these are the same address, the… pic.twitter.com/RStMcFH3sy

— Coffee ☕️ (@coffeexcoin) March 21, 2024

CertiKによると、今回の事件では、アドレス0x786C8f95C17BB990a040dc4D6539B01FC1b72842を操作するユーザーが、まず6億9000万SSSトークンを購入し、全残高を自身に転送し、25回2倍にして、最終的に「11.5兆SSSトークンを獲得し、1310ETH(約459万827ドル)で売却した」とのことだ。

事件直後、トークンの二重支払いを実施したユーザーはブロックチェーンメッセージで以下のように 述べている 。

チームの皆さん、こんにちは。これはホワイトハットによるレスキューハッキングです。ユーザーへの返金について話し合いましょう。イーサリアムメインネットでSSSデプロイヤー0x555b28f3b8b3b8ebd1b06997c2078fd94529f555からBlockscanチャットを通じてご連絡ください。

しかし、こうした善意があったにもかかわらず、自称ホワイトハッカーによる480万ドルの資金流出は、SSSトークンの暴落を引き起こした。暴落前、SSSの総時価総額は2775万ドルだったが、現在は99%以上価値を失っている。同日、SSS開発者は以下のように回答した。

こんにちは、ホワイトハットさん。Blockscanであなたに連絡しました。ご協力ありがとうございます。SSSチーム

1ヶ月前にも、ERC-Xトークン規格で発行された「Miner」で同様の二重支払いの脆弱性が発見され、無限にトークンを鋳造できることが 判明 。その結果、99%暴落する事件が発生している。シンガポールのブロックチェーンセキュリティ会社SlowMistの共同創設者であるYu Xian氏は、今回の事件について、「コントラクトに低レベルの抜け穴があることが残念だ。自分自身にお金を転送することで、残高を2倍にすることができてしまう」と述べた。この脆弱性により、ユーザーは1000万ドル以上の損失を被った。