Verichains 주간 보안 다이제스트 | 2023년 7월 4주차

이번 주 다이제스트에 따르면 DeFi 시장은 일련의 공격으로 총 760,000달러의 손실을 입었습니다. 특히 동일한 코드 세트를 사용하여 4개의 서로 다른 프로젝트가 해킹되어 총 230,000달러의 손실을 입었습니다.

지난주 사건

🚨 프로젝트: USDTStakeContract28
⛓️ 체인: 이더리움
품: 접근 제어
💸 손실 금액: $21,000

지난주에는 "USDTStakeContract28"이라는 계약이 21,000달러에 악용되었습니다. 사용자가 자신이 제어하는 모든 엔터티에 대한 전송 승인을 허용하는 "tokenAllowAll" 기능에 대한 제한이 부족한 것으로 밝혀졌습니다. 이 특정 취약점은 계약의 보안과 무결성에 심각한 위험을 초래합니다. 잠재적인 악용을 완화하고 시스템의 안전을 보장하려면 포괄적인 보안 감사를 수행하여 계약 코드 베이스 내의 약점이나 허점을 식별하고 해결하는 것이 중요합니다.

🚨 프로젝트: $BNO
⛓️ 체인: BSC
품목: 계산 착오
💸 손실 금액: $500,000

$BNO이라는 토큰이 보상 계산 메커니즘의 결함으로 인해 50만 달러가 넘는 금액으로 해킹당했습니다. 즉각적인 ERC20 토큰 인출을 위해 설계된 "emergencyWithdraw" 기능이 NFT 스테이크 기록을 고려하지 못했습니다. 공격자는 이 취약점을 악용하여 NFT와 ERC20 토큰을 모두 예치하고 ERC20 토큰에 대해서만 "emergencyWithdraw"를 실행했습니다. 이를 통해 공격자는 보상 계산 확인을 우회하여 과분한 보상을 요구하고 풀과 사용자에게 상당한 재정적 손실을 입힐 수 있었습니다.

🚨 프로젝트: APE DAO
⛓️ 체인: BSC
품목: 가격조작
💸 손실 금액: $7,000

가격 조작 공격으로 인해 $APEDAO라는 토큰이 7,000달러에 해킹되었습니다. 공격자는 반복적인 토큰 전송을 수행하고, "탈지" 기능을 활용하여 초과 토큰을 인출하고, 계약에 보유된 상당량의 $APEDAO 토큰을 소각하여 쌍 계약에서 $APEDAO 토큰의 가격을 조작했습니다. .

🚨 프로젝트: FIRE FIST, AI-Doge, QX, Utopia
⛓️ 체인: BSC
품목: 나쁜 무작위성
💸 손실 금액: $230,000

일련의 공격으로 4개의 프로젝트가 동일한 방법으로 연속 해킹되었으며 누적 손실액은 230,000달러에 달했습니다. 이 프로젝트의 스마트 계약에는 토큰을 주소에 무작위로 배포하기 위한 "transfer()" 메서드 내에 "_airdrop" 기능이 포함되어 있습니다. 그러나 이 방법에는 진정한 무작위성이 부족하여 심각한 취약점이 있습니다. 이 문제는 마지막 에어드롭 주소, 블록 번호, 무작위 주소 생성을 위한 "from" 및 "to" 주소와 같은 조작 가능한 입력을 사용함으로써 발생합니다. 이러한 예측 가능성을 통해 악의적인 행위자는 에어드랍 결과에 영향을 미쳐 악용으로 이어질 수 있습니다.