2024년 7월 16일, LIFI 의 새로운 패싯 계약에서 심각한 취약점이 악용되었습니다. 공격자는 이 취약점을 이용하여 LIFI 계약에 필요한 것 이상을 승인한 사용자로부터 자금을 훔쳤습니다. 이번 공격으로 약 1,160만 달러가 도난당했으며, 이는 Ethereum 및 아비트럼(Arbitrum) 의 여러 사용자 지갑에 있는 여러 자산에 영향을 미쳤습니다.
익스플로잇 분석
공격자는 depositToGasZipERC20 () 함수를 표적으로 삼았습니다. 이 함수는 LibSwap.swap () 함수를 사용하여 ERC20 토큰을 기본 토큰으로 교환하지만 승인된 계약 주소 및 기능의 화이트리스트와 비교하여 사용자 입력 _swapData를 검증하지 않습니다. 이러한 유효성 검사 부족으로 인해 공격자는 모든 계약에 대해 임의 호출을 수행할 수 있습니다.
다음은 익스플로잇 tx 중 하나입니다: https://etherscan.io/tx/0xd82fe84e63b1aa52e1ce540582ee0895ba4a71ec5e7a632a3faa1aff3e763873
결론
개발자는 자신의 프로젝트를 구축할 때 사용자 입력을 신뢰하지 않습니다. 제공된 모든 매개변수는 코드를 통해 주의 깊게 검증되어야 합니다. 신뢰할 수 없는 계약에 대한 호출로 인해 예상치 못한 여러 위험이나 오류가 발생할 수 있습니다. 외부 호출은 대상 계약 내에서 또는 생태계 전체에서 악성 코드를 유발할 수 있습니다. 모든 외부 통화는 잠재적인 보안 위험으로 취급되어야 하며 극도의 주의를 기울여 처리되어야 합니다.
또한 첫 번째 릴리스 버전뿐만 아니라 향후 추가되는 모든 새로운 기능에 대해서도 보안 감사를 수행 하는 것이 좋습니다. 업그레이드 프로세스로 인해 다양한 문제가 발생할 수 있으므로 철저한 감사도 필요합니다.
블록체인 사용자로서 기억하세요: 토큰을 승인하면 낯선 사람이 원하는 대로 토큰을 사용할 수 있는 액세스 권한이 부여됩니다 . 무한한 승인을 피하고, 추가 수수료가 발생하더라도 항상 각 거래에 필요한 정확한 금액을 할당하십시오. 지금 귀하의 자금을 보호하기 위해 불필요한 승인을 사전에 검토하고 취소하십시오 .
Verichains를 읽어주셔서 감사합니다! 새로운 게시물을 받고 내 작업을 지원하려면 무료로 구독하세요.
