2025년 3월 14일, H2O 토큰은 약 22,000달러의 손실을 초래한 익스플로잇을 당했습니다. 이 공격이 어떻게 발생했는지 살펴보겠습니다.
공격자: https://bscscan.com/address/0x8842dd26fd301c74afc4df12e9cdabd9db107d1e
읽어주셔서 감사합니다! 새 게시물을 받아보고 제 작업을 지원하려면 무료로 구독하세요.
공격 계약: https://bscscan.com/address/0x03ca8b574dd4250576f7bccc5707e6214e8c6e0d
취약한 계약: https://bscscan.com/address/0xe9c4d4f095c7943a9ef5ec01afd1385d011855a1#code
공격 거래: https://bscscan.com/tx/0x729c502a7dfd5332a9bdbcacec97137899ecc82c17d0797b9686a7f9f6005cb7
https://bscscan.com/tx/0x994abe7906a4a955c103071221e5eaa734a30dccdcdaac63496ece2b698a0fc3
익스플로잇 분석
H2O는 기본 ERC20 표준에서 파생된 BEP-20 토큰입니다. 이 토큰은 H2와 O2 토큰을 모두 통합합니다. H2O의 주요 특징 중 하나는 transfer() 구현의 논리적 결함입니다 — 페어에서 토큰이 전송될 때, _calulate 메커니즘은 추가 H2 또는 O2 토큰의 민팅을 가능하게 합니다.
