TechFlowの情報によると、4月8日、Certikのソーシャルメディアが、フラッシュローンとNFTマーケットプレイスに関連する脆弱性の悪用事案を検出したと発表しました。攻撃者はゼロ手数料のフラッシュローンとNFTマーケットプレイスにおけるデリゲートコール(delegatecall)を組み合わせて攻撃を行い、主にmakeOfferおよびacceptOffer機能の脆弱性を悪用しました。
攻撃者はフラッシュローンを利用して流動性を取得した後、NFTの価格提示ロジックを操作し、makeOffer、acceptOffer、transferFromなどの操作を実行することで攻撃を完了しました。直接的な資金損失は発生していませんが、NFTマーケットプレイスの取引ロジックが破壊されました。
Certikは、デリゲート方式の価格提示ロジックを使用しているプロジェクトに対して、直ちにアクセス制御および検証メカニズムを見直すことを推奨しています。




