Phalcon

Phalcon

148명의 트위터 팔로워

팔로우하기

Security Development Suite for DeFi Projects. Powered by @BlockSecTeam Phalcon Browser: http://phalcon.xyz

포스팅

업데이트 및 정정: 두 번째 LZMultiCall 사고는 프로토콜 취약점이 아닌 사용자 오용으로 인해 발생했습니다. 설계는 의도대로 작동했습니다(그림 참조). 공격자는 이러한 사용자 오류를 악용하여 자금을 빼돌렸습니다. twitter.com/Phalcon_xyz/status...

@HoldstationW 프로젝트 지갑 탈취로 인해 계정이 손상된 것으로 보고되었으며, 피해액은 약 10만 달러로 추산됩니다. #WLD, #USD1, 바이낸스 코인(BNB), #BERA 등 약 6만 6천 달러 상당의 여러 자산이 World Chain, BSC, Berachain, zkSync를 통해 유출되었고, 이더리움(22.41 이더리움(ETH))에 통합된 후 최종적으로 비트코인(0.755 비트코인(BTC))으로 브릿지되었습니다. 해당 팀은 온체인 메시지를 게시하고 공격자와 협상을 시도하고 있습니다.

주의! 저희 시스템에서 #BSC의 알 수 없는 계약을 대상으로 한 의심스러운 거래를 감지했습니다. 이로 인해 약 10만 달러의 손실이 발생했습니다. 원인은 "소각 페어" 설계 결함으로 추정됩니다. 두 개의 역스왑을 통한 공격: 1. 스왑 1: 풀에서 PGNLZ 토큰의 99.56%를 빼내어 나중에 판매된 양과 거의 같은 양이 남았습니다. 2. 스왑 2: PGNLZ를 매도하고, transferFrom을 통해 소각(PGNLP 99.9%)을 실행한 후 동기화를 통해 PGNLP 가격을 급등시켰습니다. 그런 다음 조작된 포지션을 이용하여 풀에서 거의 모든 테더 USDT(USDT) 빼돌렸습니다. 🟦 #PhalconSecurity에서 발견, 🟦 #PhalconExplorer를 통해 분석됨.

다음과 같은 것으로 보입니다. 1. 0x9cb8d9BaE84830b7f5F11ee5048c04a80b8514BA는 @0xswapnet: swapnet-1.gitbook.io/docs/refe...…에 속하거나 관련이 있습니다. 2. 0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112는 @ApertureFinance: github.com/Aperture-Finance/un...…에 속하거나 관련이 있습니다. twitter.com/Phalcon_xyz/status...

@Sagaxyz__ 계정이 공격을 받아 대량의 사가 달러(D 토큰)가 발행된 것으로 알려졌습니다. 공격자는 탈취한 자산을 이더리움으로 옮겨 일부를 이더리움(ETH) (2,000 이더리움(ETH) 이상, 600만 달러 이상 상당)로 교환하고 나머지는 유니스왑(Uniswap) v4 유동성 공급자(LP) 포지션(80만 달러 이상 상당)에 투자했습니다. 총 가치는 680만 달러가 넘습니다. 공격 원인은 아직 불분명하며, 조사를 위해 블록체인 거래가 일시 중단되었습니다. sagaevm.sagaexplorer.io/addres...… etherscan.io/address/0x2044697...… twitter.com/Phalcon_xyz/status...

@makinafi 님이 이더리움에서 해킹 공격을 당해 5,107,871 USDC의 손실을 입었습니다. 근본적인 원인은 `DUSDUSDC.getSharePrice()` 함수가 유동성 공급자(LP) 자산 가치를 계산할 때 풀의 현물 가격에 잘못 의존했기 때문입니다(즉, 가격을 가져오는 `프랙스(Frax) Finance: MIM-3LP3CRV-f Token.calc_withdraw_one_coin()` 함수). 이로 인해 공격자는 풀 가격을 조작하여 LP 가치를 인위적으로 부풀리고 차익 거래 공격을 수행할 수 있었습니다. #PhalconSecurity에서 발견했으며 #PhalconExplorer를 통해 분석했습니다.

@SynapLogic의 계약이 해킹당한 것으로 보이며, 약 18만 6천 달러의 손실이 발생했습니다. 취약점 요약: 구현 계약 0xC859에서 swapExactTokensForETHSupportingFeeOnTransferTokens(0x670a3267) 함수의 주요 매개변수 유효성 검사에 실패했습니다. 해당 함수는 네이티브 토큰 결제(msg.value)를 수락하고 구매자에게 SYP를 민트(Mint) 되어 있습니다. 그러나 공격자는 세 번째 입력 매개변수를 통해 "화이트리스트" 로직을 임의로 제어하고, 수익 분배 화이트리스트에 임의의 주소를 지정할 수 있습니다. 더욱 심각한 것은, 해당 계약이 네이티브 토큰 수익 분배를 비율에 따라 수행하지만 총 지급액이 실제 지급액(msg.value)을 초과하는지 여부를 확인하지 않는다는 점입니다. 이로 인해 공격자는 지급 주소를 설정하여 분배되는 네이티브 토큰이 지급액보다 많아지도록 함으로써, 네이티브 토큰으로 이익을 취하면서도 새로 발행된 SYP를 계속해서 획득할 수 있습니다.

YO 프로토콜(@yield)에서 이더리움 거래소에서 이상한 스왑 현상이 발생했습니다. 약 384만 달러 상당의 stkGHO가 약 12만 2천 달러 상당의 USDC로 교환된 것입니다. YO 팀은 GHO를 매입하고 stkGHO를 다시 저장소에 예치하는 등의 조치를 취했습니다. 저희 조사에 따르면 이러한 차이는 두 가지 복합적인 요인으로 인해 발생했을 가능성이 있습니다. 1. 시작자가 잘못된 출력 견적을 제시하여 사실상 슬리피지 기능이 비활성화되었습니다. 2. executePath 매개변수를 통한 비정상적인 라우팅. executePath에 전달된 경로는 수수료 등급이 매우 높고 유동성이 매우 낮은 풀을 통해 스왑을 라우팅하여 막대한 수수료 발생과 심각한 가격 하락을 초래했습니다. app.blocksec.com/explorer/tx/e...…

주의! 저희 시스템에서 몇 시간 전 #Arbitrum 아비트럼(Arbitrum) 에서 @futureswapx 님의 계약을 대상으로 한 의심스러운 거래를 감지했습니다. 이로 인해 약 39만 5천 달러의 손실이 발생한 것으로 추정됩니다. 해당 팀에 연락을 시도했지만 아직 답변을 받지 못했습니다. 공격자는 여러 차례의 changePosition 작업을 통해 자금을 빼돌린 것으로 보이며, 결국 상당한 양의 USDC를 인출했습니다. 해당 계약은 오픈소스가 아니므로 정확한 원인은 추가 조사가 필요합니다. 온체인 동작을 기반으로, 이번 사건은 초기 포지션 업데이트 과정에서 발생한 예상치 못한 stableBalance 회계 변경과 관련이 있을 수 있으며, 이로 인해 담보 제거 시 USDC가 방출되었을 가능성이 있다고 추측합니다.

Loading..