[VI] LZ 토큰 해킹 사건 분석

2023년 2월 27일 베트남 시간 14시 35분에 LZ Token은 다음과 같이 예상치 못한 덤프 이벤트를 기록했습니다.

정보를 받은 베리체인스는 원인을 분석한 결과 해킹의 원인이 컨트랙트 ( Contract )의 보안 오류를 악용한 것으로 판단했습니다. "LZ Deployer" 지갑이 1년 이상 전에 이 계약에 대해 매우 많은 양의 LZ 및 BUSD를 "승인"했다는 점은 주목할 가치가 있습니다. 그런 다음 Verichains는 사건 분석 정보를 LaunchZone 프로젝트로 보내서 처리, 수정 및 피해를 줄일 수 있도록 했습니다.

공격 흐름 분석

• LZ 토큰은 2023년 2월 27일 베트남 시간 14시 32분에 DND Exploiter 라는 주소에서 악용되었습니다. Tx로 인해 LZ 토큰 가격이 덤프됩니다:https://bscscan.com/tx/0xaee8ef10ac816834cd7026ec34f35bdde568191fe2fa67724fcf2739e48c3cae

• 해커는 "공격 계약"을 배포했으며 LZ 토큰 공격의 실행 흐름은 이 계약에서 다음과 같이 발생합니다.

  • 쌍을 찾고 Biswap에서 LZ를 BUSD로 교환하는 함수를 호출합니다(일시적으로 스왑 함수라고 함). 이 기능은 위에서 언급한 계약 X 에 속하며 1년여 전에 "LZ Deployer" 지갑에서 이 계약에 대해 10억 LZ, 3900만 BUSD를 승인했습니다.

    • 10억 LZ 계약에 대한 LZ 배포자 승인:https://bscscan.com/tx/0x3ab13a622105fdcf0293ed1a0a7918375e1a05123160efdc5e23ec121ac6d944

      

    • LZ Deployer는 3,900만 BUSD 이상의 계약을 승인합니다:https://bscscan.com/tx/0x444edcefe7de6504ae70deb292c80211dbff0ddb13bf6689cb05d5a068307ca0

      

  • 해커는 제3자 계약의 스왑 기능을 호출하여 980만 LZ를 스왑하고 BSW-LP 쌍(Biswap)을 통해 거의 7 BUSD를 LZ Deployer로 돌려받았습니다.

  • 이후 해커는 50 BUSD로 공격 계약을 로딩하고 즉시 50 BUSD를 스왑해 Biswap을 통해 980만 LZ 이상을 돌려받았습니다.

  • 결국 공격자는 PancakeSwap을 통해 980만 개 이상의 LZ를 교환하여 거의 88,000 BUSD를 얻었습니다. 이때 LZ토큰의 가격은 46배 하락했습니다.

  • 해커는 거의 88,000 BUSD를 받았을 때 이 토큰을 자신의 지갑에 청구하고 자폭 공격 계약을 수행했습니다.

일부 관련 주소:

• + LZ 배포자 : 0xdad254728A37D1E80C21AFae688C64d0383cc307

• + 공격자 : 0x7d192FA3a48C307100C3E663050291Fff786aA1F

• + 공격 계약 : 0x1C2B102f22c08694EEe5B1f45E7973b6EACA3e92

• + 계약

• + BSW-LP : 0xDb821BB482cfDae5D3B1A48EeaD8d2F74678D593

취약점 및 원인 분석

위는 해커가 LZ 토큰 가격을 악용하고 덤핑하여 약 88,000 BUSD의 이익을 얻는 행위입니다. 다음은 보안 취약점과 공격 원인을 자세히 분석한 것이다.

• 우리는 계약을 결정 했습니다

• SwapX는 BSCex 생태계 내에서 개발된 AMM이며 LZ 토큰은 이 생태계 내에 통합되어 있습니다.

계약의 바이트코드를 검토할 때 다음과 같이 나타나는 일부 보안 오류를 볼 수 있습니다.

• Call은 델리게이트콜 대신 호출을 구현합니다.

• 구현 기능은 프록시당 무제한 외부 호출을 허용합니다.

• 특히 심각한 오류는 구현 시 스왑 기능을 담당하는 함수가 다른 스왑의 msg.sender에서 일반적인 transferfrom 로직 대신 임의의 주소에서 transferfrom()을 수행한다는 사실에서 발생합니다. 따라서 해커는 전송되는 데이터 호출을 제어하여 다른 사람과 "교환"할 수 있습니다.

이전에 SwapX를 사용했던 지갑 "LZ Deployer"가 이번 계약에 대해 대량의 스왑 토큰, 즉 BUSD와 LZ 토큰을 승인했다는 사실과 결합 하여 해커는 BUSD와 교환하여 엄청난 양의 LZ 토큰을 스왑했습니다. LZ 가격은 Biswap 쌍을 통해 극도로 하락했습니다. 그런 다음 해커는 50 BSUD를 사용하여 980만 개의 LZ 토큰을 다시 구매했으며 마침내 PancakeSwap의 거래소에서 해당 980만 개의 토큰을 거의 88,000 BUSD에 교환했습니다.

Verichains는 자세한 사고 분석 정보를 LaunchZone 프로젝트에 전송하여 처리, 수정 및 피해를 줄일 수 있도록 했습니다.

조언

1. BSCex에서 SwapX를 사용한 경우 지갑을 확인하십시오. 특히 https://defi.krystal.app/token-approval-checker 또는 https://revoke.cash 와 같은 온라인 도구를 통해 이전 승인 거래를 취소하십시오.

2. 생태계에서 많은 돈을 보유하고 있는 주소는 사용할 때마다 주의가 필요합니다.

3. 거래를 수행하기에 충분한 금액만 승인하고, 너무 많은 금액을 승인하지 마십시오.

4. 출시되거나 사용이 승인되기 전에 각 제품은 평판이 좋은 보안 회사의 보안 감사를 거쳐야 합니다.

==============

베리체인스 소개

2017년부터 Verichains는 보안, 암호화 및 핵심 블록체인 기술에 대한 광범위한 전문 지식을 갖춘 APAC의 선구자이자 선도적인 블록체인 보안 회사였습니다. BNB Chain, Klaytn, Wemix, Multichain, Line Corp, Axie Infinity, Ronin Network 및 Kyber Network와 같은 여러 유명 클라이언트를 포함하여 200개 이상의 클라이언트가 500억 달러 규모의 보호 자산으로 우리를 신뢰합니다.

우리의 세계적 수준의 보안 및 암호화 연구팀은 레이어 1 프로토콜, 암호화 라이브러리, 브리지 및 스마트 계약에서 여러 가지 취약점을 발견했습니다. 또한 우리는 BNB Chain Bridge와 Ronin Bridge(Sky Mavis)라는 두 가지 가장 큰 글로벌 암호화폐 해킹의 조사, 근본 원인 분석 및 보안 문제 해결에 도움을 준 회사임을 자랑스럽게 생각합니다.

Verichains는 블록체인 기술에 대한 심층적인 연구 개발을 통해 블록체인 프로토콜 및 스마트 계약 보안 감사, 모바일 애플리케이션 보호, 키 관리 솔루션, 온체인 위험 모니터링, 레드팀/침투 테스트 서비스 등의 블록체인 보안 서비스를 제공합니다.

홈페이지:

https://www.verichains.io

이메일: info@verichains.io

트위터: https://twitter.com/Verichains

링크드인: https://www.linkedin.com/company/verichains

페이스북: https://facebook.com/verichains

텔레그램: https://t.me/+Y29xcaxJLJxjNDVl