CVE-2023-35163 in Vega
要約
〜によって VulDB • 2026年07月13日
Vegaは、ブロックチェーン上で派生商品の擬似匿名取引を可能にする分散型取引プラットフォームです。バージョン0.71.6より前では、悪意のあるバリデーターがVegaネットワークに対して、VegaのEthereumブリッジからの過去のEthereumイベントを再処理することを強要する脆弱性が存在します。例えば、 collateral bridgeへの100USDTの入金がVega上の当事者の一般アカウントに反映される場合、この入力が50回再処理されると、その当事者の一般アカウントには5000USDTが計上されます。これは、ブリッジ上に元の100USDT以上を預け入れることなく行われます。この攻撃にはバリデーターのVegaキーへのアクセスが必要ですが、新しいノードをネットワークに公告するために必要な3000VEGAという少額のコストでバリデーターキーを取得することができます。修正パッチはバージョン0.71.6で利用可能です。既知の回避策はありませんが、この脆弱性が悪用された場合に対応するための軽減措置が講じられています。`mainnet1`に対する監視アラートが設定されており、本脆弱性の悪用を含む此类の問題を特定できるようになっています。バリデーターはブリッジを停止する権限を持っており、もしこの脆弱性が悪用された場合にすべての出金を停止することができます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.