아베(AAVE) ParaSwap Repay 어댑터 해킹

2024년 8월 28일, 아베(AAVE) 의 주변 계약이 악용되어 다양한 체인에서 56,000달러의 손실이 발생했습니다. 해킹은 아베(AAVE) 플랫폼의 주변 구성 요소인 ParaSwapRepayAdapter 계약을 표적으로 삼았습니다. 이 계약을 통해 사용자는 탈중앙거래소(DEX) 인 ParaSwap 을 통해 기존 담보를 스왑하여 빌린 포지션을 상환할 수 있습니다. 이 계약은 사용자 자금을 직접 보유하지 않으며 이러한 스왑에서 남은 토큰만 포함하므로 사용자 자금에 영향을 미치지 않습니다.

개요

공격자: https://etherscan.io/address/0x6ea83f23795F55434C38bA67FCc428aec0C296DC

취약한 계약: https://etherscan.io/address/0x02e7b8511831b1b02d9018215a0f8f500ea5c6b3

거래 공격: https://etherscan.io/tx/0xc27c3ec61c61309c9af35af062a834e0d6914f9352113617400577c0f2b0e9de

익스플로잇 분석

여러 가지 문제가 있는 _buyOnParaSwap 함수의 취약점입니다. maxAmountToSwap 의 양에 따라 assetToSwapFrom 토큰을 승인하지만 paraswapData에서 다른 양에 대해 임의의 호출을 합니다. 따라서 공격자는 작은 스왑 데이터를 만들 수 있지만 매우 높은 maxAmountToSwap 은 스왑 후 tokenTransferProxy 에 매우 높은 허용치를 남깁니다.

그런 다음 공격자는 tokenTransferProxy 에 대한 assetToSwapFrom 의 남은 토큰 허용을 악용하여 계약에서 토큰을 인출했습니다.

얻은 교훈

개발자로서 , 자신의 프로젝트를 빌드할 때 사용자 입력을 신뢰하지 않습니다. 제공된 모든 매개변수는 코드에서 신중하게 검증해야 합니다. 신뢰할 수 없는 계약에 대한 호출은 여러 가지 예상치 못한 위험이나 오류를 초래할 수 있습니다. 외부 호출은 대상 계약 내부 또는 해당 생태계 전반에서 악성 코드를 트리거할 수 있습니다. 모든 외부 호출은 잠재적인 보안 위험으로 취급해야 하며 극도로 신중하게 처리해야 합니다.

또한, 첫 번째 릴리스 버전뿐만 아니라 향후 추가되는 모든 새로운 기능에 대해서도 보안 감사를 실시하는 것이 좋습니다. 업그레이드 프로세스는 다양한 문제를 일으킬 수 있으므로, 이 역시 철저히 감사해야 합니다.