Bedrock DeFi 사고 분석

10-04

이 기사는 기계로 번역되었습니다

원문 표시

2024년 9월 26일, 유동적 리스테이킹(reStaking) 플랫폼인 Bedrock DeFi 프로토콜이 공격을 받아 이더리움 메인넷에서 약 170만 달러의 손실이 발생했습니다. 이 해킹은 uniBTC 토큰의 주조를 제어하는 Vault 계약을 표적으로 삼았습니다.

개요

공격자: https://etherscan.io/address/0x2bfb373017349820dda2da8230e6b66739be9f96

취약한 계약: https://etherscan.io/address/0x047d41f2544b7f63a8e991af2068a363d210d6da

거래 공격: https://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940

익스플로잇 분석

공격 트랜잭션을 살펴보면 flashloan을 사용하여 Balancer Vault에서 30.8 WETH를 빌린 후 공격자의 계약이 이를 모두 기본 이더리움(ETH) 로 변환하여 Bedrock DeFi의 Vault 계약으로 이체했고 궁극적으로 30.8 uniBTC 토큰이 발행되었습니다.

Vault 계약의 소스 코드를 확인하면, 이 계약은 네이티브 토큰이 비트코인(BTC) 되기를 기대한다는 것을 분명히 알 수 있습니다. 그러나 이 계약은 Ethereum 체인에 배포되므로 uniBTC와 이더리움(ETH) 사이에 잘못된 변환 비율(1:1)이 발생하는데, 이는 간단하지만 중대한 오류입니다.

얻은 교훈

토큰의 주조 또는 보유를 제어하는 계약의 경우 사소한 오류라도 심각한 보안 취약성을 초래할 수 있습니다. 따라서 프로덕션 환경에서 계약을 배포하기 전에 보안 감사를 수행하는 것이 매우 중요합니다.

섹터:

출처

면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.

라이크

즐겨찾기에 추가

코멘트

공유

관련 콘텐츠

Followin Original Work

6천만 달러에서 100만 달러까지, 수천 명의 사람들이 찾는 것부터 수천 명의 욕을 먹는 것까지, $SHAR는 단 7시간밖에 걸리지 않았습니다.

Followin Original Work

GOAT는 5억 8천만으로 신기록을 경신했고, Flavia는 62,000% 급등해 1위를 차지했고, Base, Sui, APE 체인 이슈 MEME는 급락했습니다...丨MEME 배틀

비트코인(비트코인(BTC)) ETF, 코인이 주간 최저가로 폭락하면서 자금 유출