codehawks-2023-08-sparkn-l07
[L-07] Centralization Risk for trusted organizers
Summary
주최자에게 너무 많은 권한이 있어 중앙화 위험이 있다.
Keyword
centralization
Vulnerability
Known issue에서 Centralization Risk for trusted owners 를 언급했지만, 이는 관리자를 신뢰하겠다는 의미로 보인다. 하지만 주최자 역시 중앙 집중화 위험이 있다.
문서에서 스폰서(상금을 예치해두는 이)는 누구나 될 수 있으며, 주최자 역시 스폰서가 될 수 있다고 했다. 주최자가 즉 스폰서라면 예기치 않은 상황을 초래할 수 있다.
한 사람이 여러 역할을 맡을 수 있기 때문에, 주최자에게 과도한 권한이 주어진다. 주최자의 지인이나 주최자 본인에게 보상을 분배하거나, 솔루션을 얻은 후 대회를 조기에 종료하거나, 스폰서가 조직 관계자인 경우 솔루션을 얻은 후 자금을 가지고 도주하는 등의 악의적인 행동을 할 수 있다.
주최자를 오프체인에서 신원 확인할 수도 있겠지만, 그래도 프로토콜 내에서 상당한 수준의 권한을 가지고 있으므로 위험하다.
Impact
악의적인 주최자가 프로토콜을 악용할 수 있다.
Mitigation
주최자와 후원자의 역할을 구분한다. 후원자가 주최자 역할을 동시에 수행해서는 안 된다.
tags: bughunting, sparkn, smart contract, solidity, centralization, severity low