※このポストは Shut down of 0x Exchange v2.0 contract and migration to patched version の邦訳です。最新の情報は原文をご覧ください。
📌 アップデート(07/12–11:51 PM PT): 下記にパッチ済コントラクトのアドレスを掲載しました。開発者ツールとパッケージは明日の朝アップデートされ、修正が反映されます。
ERC20Proxy: 0x95e6f48254609a6ee006f7d493c8e5fb97094cef
ERC721Proxy: 0xefc70a1b18c432bdc64b596838b4d138f6bc6cad
MAP: 0xef701d5389ae74503d633396c4d654eabedc9d78
Exchange: 0x080bf510fcbf18b91105470639e9561022937712
APOwner: 0xdffe798c7172dd6deb32baee68af322e8f495ce0
Forwarder: 0x76481caa104b5f6bccb540dae4cefaf1c398ebea
OrderValidator: 0xa09329c6003c9a5402102e226417738ee22cf1f2
📌 アップデート (07/12–09:43 PM PT): これまでの取引のログを解析し、0x v2.0 Exchange コントラクトに見つかった脆弱性は悪用されたことがなく、ユーザーの資産は失われたことがないということが確認されました。
今日 (7/12) のおよそ午後4時半 (太平洋時間), 私達は外部のセキュリティ研究者 smaczsun からの連絡を受け、0x v2.0 Exchange コントラクトが不正に使用される可能性に気づきました。
この脆弱性を利用することで、攻撃者は不正な署名を使ってオーダーを約定することが可能でした。この脆弱性は ZRX コントラクトには影響がありません。あなたが所有するデジタル資産は安全です。
0x 内部でこの脆弱性を確認し、十分な注意を払った上で、脆弱性が悪用されるのを防ぐために AssetProxyOwner コントラクトを使用して v2.0 Exchange と 全ての AssetProxy コントラクトをシャットダウンしました。コントラクトのシャットダウンはおよそ午後7時45分に完了しました。私達が把握する限り、誰もこの脆弱性を悪用していませんし、ユーザーの資産は失われていません。残念ながら、このことは現在デプロイされた 0x のコントラクトが取引を実行できず、使用できないということを意味しています。
脆弱性に対するパッチが当てられたバージョンの Exchange コントラクト (自信を持ってこの脆弱性が修正されたと言えるものになります) と、新しい AssetProxy コントラクトは、今夜イーサリアム メインネットにデプロイされ、使用できるようになる予定です。
エクスプロイトの解説
私達は他のスマート コントラクトがこのエクスプロイトに対して脆弱であることを検証した上で、正式な検視報告を公開します。
📌アップデート(07/13–10:30 PM PT):
取り急ぎの次のステップ
それぞれのチームはパッチが当てられ、新規にデプロイされた Exchange と AssetProxy コントラクトに変更し、未約定注文のオーダーブックをクリアする必要があります。ユーザーは新しい 0x AssetProxy コントラクトに対して、アローワンスをリセットする必要があります。このポストはデプロイ後に新しいアドレスと共にアップデートされます。
0x コアチームを代表して、心からのお詫びを申し上げます。当初から、私達はコードの品質、衛生面のテスト、協業する全ての独立したセキュリティ監査人に対して非常に高い基準を設定してきました。私達はクリティカルなバグが深刻な非難に値することを理解しています。今後の数日間、この問題に関して広くコミュニティと議論することを望んでいます。それによって、0x プロトコルの全てのスマート コントラクトのセキュリティに関する慣例が透明で厳格であり、十分に吟味されたものであることを確実にします。
私達はまた、samczsun に対しても心からの感謝を表明します。脆弱性の可能性を特定したコミュニティのメンバーとホワイトハット ハッカーに広くバグ・バウンティーを申し出ます。
さらなる質問がある場合や、単にコアチームと喋りたい場合は、遠慮せずに Discord で連絡してください。私達は技術的な問題に対して、可能な限りの時間を費やして働き続けます。
