コントラクトの脆弱性を報告した話

solidity

Last updated at 2024-03-19Posted at 2024-03-19

背景

お触り系タスクでありがちな，「一日一回無料でNFTをMintできる」類のタスクを自動化するために，該当するコントラクトの関数を見ていた時に発見(具体的なコントラクト名は伏せる)．

コントラクト

まず，該当するコントラクトの関数部分を見てみる．

mintDailyNFT

function mintDailyNFT(
    address to,
    uint256 quantity,
    uint256 nonce,
    bytes memory signature
) public nonReentrant{
    _mintWithSignature(to, NFT_TOKEN_ID, quantity, nonce, signature, true);
    emit MintDailyOma(to, quantity);
}

これが一日一回NFTをMintできる関数である．動作としては，reentrancyを回避しつつ_mintWithSignatureを実行し，フロントエンドにイベントを送信している．ここでの疑問は，引数にあるsignatureとは何か？だろう．これは_mintWithSignatureを見ることで解決できる．

_mintWithSignature

function _mintWithSignature(
    address to,
    uint256 tokenId,
    uint256 quantity,
    uint256 nonce,
    bytes memory signature,
    bool isDaily
) internal {
    // nonceが既に使われていれば例外を投げる
    require(!usedNonces[nonce], "nonce already used.");
    
    // 引数からmessageを作成
    bytes32 hash = keccak256(
        abi.encodePacked(to, tokenId, quantity, nonce, address(this), isDaily)
    );
    bytes32 message = _prefixed(hash);
    
    // signatureを使用してmessageからsigner addressを復元
    address signer = message.recover(signature);

    // signer addressがDEFAULT_ADMIN_ROLEを持っていなければ例外を投げる
    // つまり，signerがadmin(contract creator)でなければ無効なtxである
    require(
        hasRole(DEFAULT_ADMIN_ROLE, signer),
        "bad signer role signature."
    );

    // nonceを使用済みにする
    usedNonces[nonce] = true;

    // NFTをMint
    _nftMint(to, tokenId, quantity);
}

ここで，signatureはadminによる署名であることが分かる．つまり，フロントエンドからMintしないと有効なsignatureは作れない ということである．更に，nonceがあるため署名の再利用はできない．よくできているなと感心しつつ，フロントエンドを介さないとMintできない事実に落胆した．