Verichains 주간 보안 다이제스트 | 2023년 8월 3주차
이번 주 Security Digest에서 Verichains 연구팀은 최고의 사이버 보안 컨퍼런스인 Black Hat USA 2023에서 MPC 금고 및 지갑에 대한 중요한 제로데이 공격을 발표했습니다.
사건 뉴스에 따르면 DeFi 시장은 Steadfi가 $1,000,000 이상의 자금 손실로 차트를 주도하면서 $1,386,000의 손실을 입었습니다. 한편, 재진입 취약점은 매주 계속 만연하고 있습니다.
Verichains x Black Hat USA 2023
TSSHOCK의 심각성을 이해하기 위해 MPC 금고를 완전히 파괴하고 1억 8천만 달러(TVL 기준)를 훔칠 수 있는 테스트넷에서 작동하는 PoC 익스플로잇이 포함된 공개를 받은 THORChain의 즉각적인 반응을 참조할 수 있습니다. THORChain은 전 세계적으로 24년 동안 메인넷을 즉시 중단했습니다. 시간.
TSSHOCK은 ECDSA 임계값의 기본 계층에서 효과적이며, 취약한 공급업체의 잠재적 목록이 설문 조사 범위보다 더 많을 수 있음을 암시합니다. 여기에서 권장 사항을 포함한 전체 기술 분석에 대해 자세히 알아보세요: https://www.verichains.io/tsshock/
TSSHOCK 공개를 통해 Verichains는 프로젝트와 공급업체에 적절한 수정을 구현하도록 촉구하고 철저한 감사, 엄격한 평가 및 보안 조치의 지속적인 개선의 중요성을 강조합니다.
지난주 사건
🚨 프로젝트: Steadefi
⛓️ 체인: 이더리움
품: 손상된 지갑
💸 손실 금액: $1,100,000
지난 주 Steadefi라는 DeFi 프로젝트는 배포자 지갑이 손상되면서 1,100,000달러에 대한 공격을 받았습니다. 이 사건은 시스템 내 모든 저장소의 소유권을 관리하는 프로젝트 프로토콜 배포자 지갑의 취약점을 중심으로 발생합니다. 공격자는 이 배포자 지갑을 성공적으로 손상시켜 대출 및 전략 금고를 모두 제어할 수 있게 되었습니다. 그 후 그들은 대출 금고의 모든 지갑에 대출 권한을 부여하는 것을 포함하여 일반적으로 소유자에게 예약된 작업을 실행했습니다. 직접적인 결과로 공격자는 Arbitrum 및 Avalanche 네트워크 모두에서 대출 용량을 소진하여 전략적 스왑 및 브리지를 통해 인수한 자산을 Ethereum으로 전환했습니다.
특히, 예금 금고는 착취자가 인출할 수 있는 메커니즘이 없기 때문에 영향을 받지 않았습니다. 전략 저장소에서 철수하는 것은 사용자에게 잠재적으로 실행 가능하지만, 이는 공격자가 이러한 저장소를 일시 중지하지 못하도록 제한하는 데 달려 있습니다. 또한, 공격자가 팜 계약 작업을 중단하기로 결정하면 공격자뿐만 아니라 사용자도 팜과 관련된 svTokens 또는 ibTokens를 인출하는 것이 제한됩니다.
이 글을 쓰는 시점에서 해당 프로젝트는 공격자와의 연락에는 실패했지만 손실된 자금의 50%를 성공적으로 복구했으며 보상 프로그램을 진행하고 있습니다.
🚨 프로젝트: 수익 농장
⛓️ 체인: 이더리움
🔥 유형: 재진입 공격
💸 손실 금액: ~$286,000
또 다른 재진입 공격에서는 Earning Farm이라는 프로젝트가 약 286,000달러에 공격을 받았습니다. 공격의 근본 원인은 '컨트롤러' 계약에 포함된 출금 로직 내의 결함으로 인해 발생했습니다. 사용자가 출금을 수행하면 계약은 사용자 잔액의 충분성을 평가하기 전에 사용자에게 ETH를 발송합니다. 이 취약점을 악용하여 공격자는 자산 소각 프로세스를 시작하기 전에 토큰을 대체 주소로 재배치합니다.
