Verichains 주간 보안 다이제스트 | 2023년 4월 1주차

avatar
Verichains
04-04
이 기사는 기계로 번역되었습니다
원문 표시

이번 주 다이제스트에서 Verichains는 보안 자문 서비스를 통해 클라이언트 멀티체인이 플랫폼을 보호하는 데 어떻게 도움을 줬는지 보여줍니다.

최근 세이프문(SafeMoon)이 주목받는 해킹 사건으로 DeFi 시장은 지난주 900만 달러의 추가 피해를 입었습니다.

Verichains 보안 권고

멀티체인은 임의의 크로스체인 상호작용을 위해 개발된 인프라입니다. 서로 소통하기 위한 다양하고 다양한 블록체인의 명확한 요구 사항을 충족하기 위해 2020년 7월 20일 Anyswap으로 탄생했습니다.

2022년 12월, Verichains는 ECDSA 보안 임계값에 대한 광범위한 연구를 수행하고 있었습니다. 우리는 Multichain의 fastMPC 구현에서 특정한 취약점을 발견했으며 즉시 참조할 수 있는 개념 증명을 가지고 해당 팀에 연락했습니다.

이 취약점으로 인해 단일 악의적인 당사자가 TSS 그룹의 TSS 개인 키를 복구하여 at/n 임계값 체계를 1/n으로 줄일 수 있습니다. 이를 위해 공격자는 1개의 서명식에만 참여하면 됩니다. 각각 버전 7.2.5 및 7.2.6을 사용하는 모든 멀티체인 메인넷 및 테스트넷 smpc 노드가 위험에 처해 있었습니다.

우리의 공동 노력을 통해 Multichain은 악용이 발생하기 전에 취약점을 신속하게 패치할 수 있었습니다.

이 사례 연구는 보안 자문 서비스를 통해 고객에게 제공되는 가치와 보호를 강조합니다. 우리는 버그를 해결하기 위한 신속한 노력과 포상금을 지급한 멀티체인 팀에 감사를 표합니다.

여기에서 전체 보안 권고를 읽어보세요.

지난주 사건

🚨 프로젝트: SafeMoon
⛓️ 체인: BSC
품: 접근 제어
💸 손실 금액: 890만 달러

지난 주에는 SFM 토큰 계약의 burn() 기능에 대한 액세스 제어 취약점으로 인해 DeFi 프로젝트인 SafeMoon이 올해 두 번째로 큰 해킹으로 시작되었습니다. 이 프로젝트는 890만 달러에 해킹되었습니다. 악의적인 공격자가 대량의 SFM 토큰을 소각하여 이 취약점을 이용하여 SFM 토큰 가격이 급등했습니다. 그 후 공격자는 SFM 토큰을 WBNB에 해당하는 토큰으로 교환하고 상당한 양의 토큰을 인출하여 SafeMoon 사용자에게 상당한 손실을 입혔습니다.

0x286e MEV 봇이 트랜잭션을 가로채서 실행했다는 점도 주목할 가치가 있습니다. MEV는 "Maximal Extractable Value"의 약자로, 채굴자나 기타 행위자가 블록체인 거래에서 추출할 수 있는 가치의 양을 나타냅니다. MEV 봇은 이익을 극대화하는 방식으로 거래를 실행하여 이 가치를 극대화하려는 자동화된 도구입니다.

전반적으로, 이 사건은 스마트 계약에서 강력한 액세스 제어 메커니즘의 중요성과 빠르게 발전하는 블록체인 세계에서 지속적인 경계의 필요성을 강조합니다.

🚨 프로젝트: 올브리지
⛓️ 체인: BSC
품목: 가격조작
💸 손실 금액: $570,000

Allbridge라는 프로젝트가 가격 조작으로 인해 50만 달러가 넘는 해킹을 당했습니다. 공격자는 LP와 스왑퍼 역할을 모두 수행하여 풀을 제어하고 스왑 가격을 조작할 수 있었습니다. 결과적으로 공격자는 거래를 실행하고 풀을 소진하여 282,889 BUSD와 290,868 USDT의 손실을 입었습니다. 글을 쓰는 시점에서 공격자는 1,500개의 BNB 토큰(약 465,000달러)을 반환하는 데 동의했으며 그 차이는 해피엔딩인 하얀 모자 포상금으로 유지되었습니다.

🚨 프로젝트: 북극곰
⛓️ 체인: BSC
품목: 백도어
💸 손실 금액: $110,000

눈살을 찌푸리게 하는 사건은 공개되지 않았던 Nuwa 계약 0x344의 백도어로 인해 Polar Bear라는 프로젝트가 $110,000에 해킹당하는 사건이었습니다. 0xfa319eee 함수가 범인인 것으로 밝혀졌는데, 이는 $BUSD을 $NUWA로 교환하고 계약의 모든 $NUWA를 호출자에게 전송할 수 있게 해줍니다. 거래가 실행되는 동안 0x286E Mev 봇이 거래를 전면 실행하여 원래 거래가 취소되었습니다. 반전 후 0x286E 봇은 $NUWA을 약 $110,000의 이익에 판매했습니다.

🚨 프로젝트: $UNMS
⛓️ 체인: BSC
품목: 플래시론 공격(Flashloan Attack)
💸 손실 금액: $100,000

$UNMS라는 토큰이 지난 주에 10만 달러 규모의 플래시론 공격을 받았습니다. 공격자는 플래시 론을 활용하여 $BUSD 상당 금액을 빌린 뒤 쌍에서 $BUSD과 $UNMS 사이의 비율을 수정했습니다. 이러한 변경으로 인해 공격자는 계약에서 상당량의 $UNMS를 인출할 수 있었고 나중에 이를 $100,000에 판매했습니다. 이번 공격에서 플래시 대출을 활용한 공격자는 짧은 시간 내에 유동성 풀에 대한 대규모 조작을 수행할 수 있었습니다.

출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠