Verichains 주간 보안 다이제스트 | 2023년 7월 2주차

지난주 DeFi 시장은 200,000달러 이상 이용되었습니다. Biswap DEX 해킹 비용만 전체 금액의 절반 이상인 110,000달러를 차지했습니다. 이 악용은 입력 유효성 검사가 부족하여 가능했습니다.

지난주 사건

🚨 프로젝트: 비스왑
⛓️ 체인: BSC
품목: 입력 검증 부족
💸 손실 금액: ~$110,000

V3Migrator 계약의 migrate 방법의 취약점으로 인해 분산형 거래소인 Biswap이 ~$110,000 이상 해킹당했습니다. 공격자는 이 취약점을 악용하여 계약에 대해 LP 토큰을 승인한 사용자로부터 토큰을 훔칠 수 있었습니다. 이 취약점은 transferFrom 메소드의 매개변수에 대한 검증 부족으로 인해 무단 전송이 허용되고 공격자가 부정하게 토큰을 획득하게 되는 것과 관련이 있습니다.

글을 쓰는 시점에서 Biswap은 사건의 결과를 인정하고 전적인 책임을 졌으며 사용자의 손실을 보상하고 있습니다.

🚨 프로젝트: MyAI
⛓️ 체인: BSC
품목: 입력 검증 부족
💸 손실 금액: $2,500

MyAI라는 DeFi 프로젝트는 MyAI 프로젝트의 MultiSender 계약의 취약점으로 인해 2,500달러에 악용되었습니다. 계약에 따라 여러 주소로 토큰을 일괄 전송하는 것이 허용되었지만 "tokenTransfer" 방법에서 보낸 사람의 자격 확인이 올바르지 않았습니다. 이 결함을 악용하여 공격자는 누구를 대신하여 계약에 토큰을 입금하고 모든 토큰을 자신의 주소로 전송하여 효과적으로 훔칠 수 있습니다. 스마트 계약에서 무단 전송을 방지하려면 적절한 승인 확인이 중요합니다.

🚨 프로젝트: BambooAI
⛓️ 체인: BSC
품목: 가격조작
💸 손실 금액: ~$48,000

BambooAI라는 DeFi 프로젝트가 지난 주 약 48,000달러에 해킹당했습니다. 공격은 _transfer 함수 내에서 개인 updatePool 함수 호출로 인해 발생하는 취약점을 악용했습니다. 결과적으로 풀에 포함된 토큰 쌍의 잔액이 조작되어 토큰 가격이 인위적으로 변동되었습니다. 공격자는 이러한 조작을 이용하여 불공정한 이점을 얻거나 가격 변동으로 인해 잠재적으로 이익을 얻었습니다.

글을 쓰는 시점에서 BambooAI 팀은 공격을 인정하고 계약 배포를 담당하는 개발자를 체포할 계획을 고안했습니다.

🚨 프로젝트: Bao Finance
⛓️ 체인: BSC
품목: 기부 인플레이션 공격 및 반올림 오류
💸 손실 금액: $48,000

7월 4일, BaoETH 볼트 및 bdbSTBL 계약의 취약점으로 인해 Bao Finance가 악용되었습니다. 그들은 환율을 조작하고 상당한 양의 baoETH를 빌린 다음 Balancer의 유동성 풀을 고갈시켜 wETH로 전환했습니다. 마지막으로 그들은 Liquid V2 계약의 버그를 악용하여 대출금을 상환하지 않고 담보를 인출할 수 있었습니다. 전체적으로 그들은 약 41.3 baoETH를 훔쳤는데, 이는 가스 비용을 고려하면 약 21ETH에 해당합니다.