【链文】有个合约安全问题值得注意。SynapLogic的swapExactTokensForETHSupportingFeeOnTransferTokens関数には深刻な脆弱性があります——重要なパラメータの有効性検証が欠如しています。攻撃者はこの脆弱性を利用して何をしたのか?ホワイトリストメカニズムを回避し、自分で利益の受取アドレスを指定し、直接引き出し資金を受け取ったのです。さらに悪いことに、コントラクトはネイティブトークンの総配布量を検証していなかったため、攻撃者は一度に二つのルートでアービトラージを行いました:一つはネイティブトークン自体を超過引き出し、もう一つは新たに鋳造されたSYPトークンを同時に獲得することです。二つの手段を併用しました。最終的な結果は約18.6万ドルが直接送金されたことです。このケースは再び開発者に警告を発しています——トークンの送金やホワイトリストのロジックを扱う際には、パラメータの境界チェックを怠らず、金額の上限検証も必須です。小さな見落としが時には大きな脆弱性になるのです。
SynapLogicコントラクトの脆弱性による大規模アービトラージ:パラメータ検証の欠如による過剰引き出し
【链文】有个合约安全问题值得注意。SynapLogic的swapExactTokensForETHSupportingFeeOnTransferTokens関数には深刻な脆弱性があります——重要なパラメータの有効性検証が欠如しています。
攻撃者はこの脆弱性を利用して何をしたのか?ホワイトリストメカニズムを回避し、自分で利益の受取アドレスを指定し、直接引き出し資金を受け取ったのです。さらに悪いことに、コントラクトはネイティブトークンの総配布量を検証していなかったため、攻撃者は一度に二つのルートでアービトラージを行いました:一つはネイティブトークン自体を超過引き出し、もう一つは新たに鋳造されたSYPトークンを同時に獲得することです。二つの手段を併用しました。
最終的な結果は約18.6万ドルが直接送金されたことです。このケースは再び開発者に警告を発しています——トークンの送金やホワイトリストのロジックを扱う際には、パラメータの境界チェックを怠らず、金額の上限検証も必須です。小さな見落としが時には大きな脆弱性になるのです。