Verichains 주간 보안 다이제스트 | 2023년 4월 2주차

avatar
Verichains
04-14
이 기사는 기계로 번역되었습니다
원문 표시

이번 Verichains Weekly Digest 기사에서는 독자들에게 Verichains의 책임 있는 취약점 공개 프로세스와 가치 제안을 안내해 드립니다. 지난주 사건의 경우 DeFi 시장은 2천만 달러가 넘는 금액으로 해킹당했습니다.

Verichains 보안 권고

Verichain의 대기 기간은 영향을 받는 공급업체가 주요 추출 공격 공개로부터 제품을 수정하기 위해 유효하므로 취약성 공개를 처리하기 위한 Verichain의 표준 절차를 이해하는 것이 중요합니다. 취약점이 발견되면 당사의 보안 연구원은 이를 통제된 환경(개념 증명 또는 PoC)에서 재현합니다. 이를 통해 연구원은 제품에 영향을 주지 않고 취약점의 심각도와 영향 수준을 평가할 수 있습니다.

PoC를 통해 취약점이 확인되면, 영향을 받은 공급업체에 '취약성 공개' 알림을 준비하고 전달할 것입니다. 공급업체는 버그 보상 프로그램, 전용 취약점 공개 프로그램/정책 등 몇 가지 다른 채널을 통해 공개를 받거나 보안 받은 편지함을 통해 직접 받을 수 있습니다. Verichains는 또한 전송 시 PoC를 암호화하여 추가 보안 단계를 수행하며 이는 승인되지 않은 당사자가 취약점을 보는 것을 방지하기 위한 것입니다. 또한 Verichains는 기밀을 유지하며 PoC를 포함한 조사 결과를 제3자와 공유하지 않습니다. 당사와 영향을 받는 공급업체 간의 모든 통신은 취약한 제품의 보안을 보장하는 특권을 갖고 있습니다.

공개를 수신하면 영향을 받는 공급업체는 알림을 승인하고 PoC에 대한 내부 검토 및 검증을 시작합니다. 동시에 공급업체는 공개된 취약점을 적절하게 관리하기 위해 기존 보안 절차를 시작할 수 있습니다.

공급업체에 대한 가치 제안은 명확합니다. 즉, 악용이 발생하기 전에 제품의 취약점을 인식했다는 것입니다. 공급업체는 Verichains와 협력하여 취약점 수정에 대한 추가 정보와 지원을 받거나 기술적 역량이 있는 경우 자체 수정을 수행할 수 있습니다. 공급업체는 Verichain과 협력하여 취약점을 신속하게 패치하고 악용으로 인한 자금 손실, 비즈니스 중단 또는 평판 손상을 완화할 수 있습니다.

이 기간 동안 Verichain의 120일 대기 기간이 적용되므로 공급업체가 취약점을 패치할 수 있는 충분한 시간을 허용하십시오. 공급업체가 취약점을 패치하거나 대기 기간이 경과한 후 Verichains는 보안 권고를 통해 취약점에 대한 세부 정보를 공개 공개할 예정입니다. 해당 내용은 여기에서 참조할 수 있습니다.

Verichains가 보안 노력에 어떻게 도움이 되는지 알아보려면 info@verichains.io로 문의하세요.

지난주 사건

🚨 프로젝트: MEV 봇
⛓️ 체인: 이더리움
품목 : 프론트런, 샌드위치 공격
💸 손실 금액: 2천만 달러

마지막 다이제스트의 SafeMoon 해킹과 유사하게 또 다른 MEV 봇이 단 한 블록에서 엄청난 2천만 달러에 해킹당했습니다. 이 공격은 거래를 삽입한 검증인에 의해 수행된 것으로 보이며, 이를 통해 선점을 시도하는 MEV 봇으로부터 자금을 훔칠 수 있었습니다. 선행거래에는 다른 거래보다 먼저 거래를 진행하여 이점을 얻고 가격 차이를 활용하는 것이 포함됩니다.

🚨 프로젝트: 스시 스왑
⛓️ 체인: Ethereum, Polygon, Arbitrum, Avalanche, BSC 등
품: 접근 제어
💸 손실액: 330만 달러

지난주 DeFi 시장은 2건의 주요 해킹을 겪었습니다. 첫 번째 해킹은 유명한 분산형 거래소인 Sushi Swap에서 330만 달러의 비용이 들었습니다. 취약점은 토큰 교환을 위해 오프체인 생성 경로를 처리하는 processRoute라는 함수를 포함하는 RouteProcessor2 계약에서 발견되었습니다.

이 취약점은 processRoute 함수에 적절한 액세스 제어가 부족하여 악의적인 사용자가 이를 악용할 수 있기 때문에 발생했습니다. 공격자는 processRoute 함수를 호출하고 피해자의 주소를 전달하여 라우터를 통해 모든 토큰을 교환할 수 있었습니다. 그 결과, 피해자의 토큰, 특히 BUZZ 토큰의 잔액이 해커의 주소로 이체되어 피해자의 계정이 효과적으로 유출되었습니다.

해커에 의한 이러한 무단 액세스 및 토큰 전송은 취약한 기능에 적절한 액세스 제어가 부족하여 스왑을 시작할 때 사용자가 부여한 승인을 악용하고 피해자의 토큰 잔액을 조작할 수 있기 때문에 가능했습니다.

🚨 프로젝트: 감정
⛓️ 체인: Arbitrum
품목: 재진입
💸 손실 금액: ~100만 달러

뷰 재진입 버그를 악용한 공격으로 Sentiment라는 DeFi 프로토콜에서도 100만 달러가 추가로 도난당했습니다. 공격자는 풀 잔고가 업데이트되기 전에 플래시론을 받고, 금리를 변경하고, "exitPool" 함수를 호출하여 악성 코드를 실행했습니다. 이를 통해 그들은 담보물 가격을 과도하게 높이고 감정 풀에서 가능한 것보다 더 많은 자산을 빌리고 인출할 수 있었습니다. 공격자는 Sentiment Pool의 잔액과 총 공급량을 조작하여 담보 조작 공격을 실행하여 프로토콜에서 돈을 훔쳤습니다.

최신 업데이트에서 Sentiment는 해킹된 자금의 90%를 반환하고 10%를 화이트햇 수수료로 유지하기로 공격자와 성공적으로 협상했습니다.

https://twitter.com/sentimentxyz/status/1643779654141251584?s=20

출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠