あるWeb3プロジェクトの契約に従業員が悪意のあるコードを埋め込んだ可能性があり、数十万ドルの損失を引き起こした。

ChainCatcher のメッセージによると、暗号コミュニティのメンバー Cat（@0xCat_Crypto）が明らかにしたところによれば、ある Web3 スタートアッププロジェクトがスマートコントラクトコードにハードコーディングされた承認ウォレットアドレスを含んでいたため、数十万 USDT が転送されました。

事件では、ある従業員が提出したコントラクトコードに疑わしい点がありましたが、その従業員は関連コードを作成したことを否定し、悪意のあるコードは人工知能プログラミングアシスタントによって自動生成され、十分な審査を受けていないと主張しています。現在、関与しているウォレットの帰属は確認できず、コードの作成主体も特定が難しい状況です。

SlowMist の余弦は、初期調査の結果、Cursor と Claude 3.7 モデルを使用した環境下で、AI が自動補完したアドレスが関与する悪意のあるアドレスと一致しないことを示し、AI コード生成による悪用の可能性を排除しました。この悪意のあるアドレスはスマートコントラクトの所有者権限を持っており、プロジェクト側の資金が完全に転出される結果となりました。