CertiK 해킹의 내부: 블록체인 세계에서의 피싱에 대한 경고 이야기
최근 CertiK의 X 계정이 해킹당한 사건은 블록체인 분야에서 피싱의 위협이 커지고 있음을 보여주며, 경계를 강화하고 강력한 보안 조치를 취해야 할 필요성을 강조합니다.
Edmund로그인/ 가입하기
CertiK 데뷔: 암호화된 무손실 "역 신용 카드" 수익 수백만 달러 FEG 플래시 대출 공격 이벤트 분석
따르다
베이징 시간으로 2022년 5월 16일 오전 4시 22분 49초, CertiK 보안 기술 팀은 FEG가이더리움 및 BNB 체인에서 대규모 플래시 론 공격을 받아 약 130만 달러 상당의 자산 손실을 입었음을 모니터링했습니다.
이 공격은 "swapToSwap()" 기능의 취약점으로 인해 발생합니다. 이 기능은 사용자가 입력한 "경로"를수신 매개변수를 선별 및 확인하지 않고 직접 사용하여 인증되지 않은 "경로" 매개변수(주소)를 허용합니다. 현재 계약의 자산을 사용합니다.
따라서 공격자는 "depositInternal()" 및 "swapToSwap()"을 반복적으로 호출하여 현재 계약의 자산을 제한 없이 사용할 수 있는 권한을 획득하여 계약의 모든 자산을 훔칠 수 있습니다.
영향을 받는 계약 주소 중 하나: https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7
취약점 트랜잭션
취약점 주소: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
취약점 트랜잭션 샘플: https://bscscan.com/tx/0x77cf448ceaf8f66e06d1537ef83218725670d3a509583ea0d161533fda56c063
도난 자금 추적: https://debank.com/profile/0x73b359d5da488eb2e97990619976f2f004e9ff7c/history
관련 주소
공격자 주소: https://bscscan.com/address/0x73b359d5da488eb2e97990619976f2f004e9ff7c
공격자 계약: https://bscscan.com/address/0x9a843bb125a3c03f496cb44653741f2cef82f445
FEG 토큰 주소: https://bscscan.com/token/0xacfc95585d80ab62f67a14c566c1b7a49fe91167
FEG 래핑 BNB(fBNB): https://bscscan.com/address/0x87b1acce6a1958e522233a737313c086551a5c76#code
공격 단계
다음 공격 흐름은 이 취약성 트랜잭션을 기반으로 합니다.
① 공격자는 915 WBNB를 빌리고 116 BNB를 fBNB에 예치합니다.
② 공격자는 후속 공격에 사용할 10개의 주소를 생성했습니다.
③공격자는 "depositInternal()"을 호출하여 계약 FEGexPRO에 fBNB를 예치합니다.
"_balances2[msg.sender]"는 현재 주소의 잔액에 따라 증가합니다.
④ 공격자는 "swapToSwap()"을 호출하며 경로 매개변수는 이전에 생성한 컨트랙트의 주소이다.
이 기능을 통해 "경로"는 FEGexPRO 계약의 114 fBNB를 얻을 수 있습니다.
⑤ 공격자는 "depositInternal()" 및 "swapToSwap()"을 반복적으로 호출(3, ④ 단계)하여 다음과 같은 이유로 여러 주소(②에서 생성)가 fBNB 토큰을 획득할 수 있도록 합니다.
"depositInternal() "이 호출될 때마다 _balance2[msg.sender]는 약 114 fBNB만큼 증가합니다.
"swapToSwap()"이 호출될 때마다 공격자가 생성한 계약은 114 fBNB의 사용 권한을 얻을 수 있습니다.
⑥ 공격자는 10개의 주소를 제어하고 각 주소는 현재 주소에서 114 fBNB를 소비할 수 있으므로 공격자는 공격받은 컨트랙트의 모든 fBNB를 훔칠 수 있습니다.
⑦ 공격자는 ④⑤⑥의 과정을 반복하여 컨트랙트의 FEG 토큰을 소진합니다.
⑧ 마지막으로 공격자는 고갈된 자산을 모두 매각하고 플래시론을 상환하고 나머지 수익을 최종적으로 가져간다.
자산 소재지
2022년 5월 16일 6시 43분 현재, 도난당한 자금은 Ethereum 및 BSC 체인 모두에서 공격자의 지갑(0x73b359d5da488eb2e97990619976f2f004e9ff7c)에 여전히 저장되어 있습니다.
Ethereum 및 BSC의 Tornado 현금에서 원래 자금: https://etherscan.io/tx/0x0ff1b86c9e8618a088f8818db7d09830eaec42b82974986c855b207d1771fdbe
https://bscscan.com/tx/0x5bbf7793f30d568c40aa86802d63154f837e781d0b0965386ed9ac69a16eb6ab
공격자는 13개의 FEGexPRO 계약을 공격했습니다. 다음은 개요입니다.
유익한 보고서를 통해 암호화 산업에 대한 더 넓은 이해를 얻고 비슷한 생각을 가진 다른 저자 및 독자와 심도 있는 토론에 참여하십시오. 성장하는 Coinlive 커뮤니티에 참여하실 수 있습니다.https://t.me/CoinliveSG
댓글 추가
로그인당신의 멋진 의견을 남겨주세요…
0 코멘트
가장 이른
더 많은 댓글 로드
추가 뉴스 certik
추가 뉴스 certik
- Edmund
CertiK, Hack3d: 2023 연례 웹 3.0 보안 보고서 발표
지난 1년간 웹3.0 영역에서 발생한 보안 사고에 대한 통계와 분석을 통해 웹3.0 보안의 최신 동향을 전방위적으로 살펴봅니다.
JinseFinanceCertiK: 웹3.0을 위한 코스모스 에코 보안의 해체, 별을 향한 여정
코스모스는 블록체인 상호운용성을 개선하고 서로 다른 블록체인 간의 효율적인 상호운용을 가능하게 하는 데 중점을 두고 있습니다. 셀레스티아와 dYdX v4를 포함한 일련의 주요 프로젝트는 코스모스 SDK와 IBC 프로토콜을 기반으로 구축되었습니다.
JinseFinance솔라나, 사가 폰의 CertiK 비디오가 제기한 보안 문제를 반박하다
CertiK는 솔라나 사가의 보안에 대한 문의를 제기했지만, 솔라나는 향상된 시드 볼트 기술의 탄력성과 시장에 대한 입증된 영향력을 바탕으로 자신의 입지를 방어했습니다.
KikyoCertiK Partners with Alibaba Cloud to Bring Blockchain Security to the Cloud
Web3 developers can now accelerate their development process and secure their applications and smart contracts.
OthersCertiK, 6개월 만에 세 번째 BAYC 보안 침해 후 보안 팁 공유
CertiK에 따르면 투자자는 무료 NFT 증정품과 그들이 상호 작용하는 사이트의 작은 특이성에 대해 매우 회의적이어야 합니다.
CointelegraphCalyx 토큰 Certik 감사가 85%에 도달했습니다. 이더리움(ETH)과 솔라나(SOL)는 훌륭한 투자 기회가 될 수 있습니다
Calyx Token(CLX)은 다중 체인 암호 거래 및 유동성 소싱을 가능하게 하도록 설계된 새로운 무허가 및 커뮤니티 운영 유동성 플랫폼입니다.
BitcoinistCertik을 통한 Yasha의 최근 광범위한 스마트 계약 감사
블록체인 사용의 가장 중요한 이점 중 하나는 향상된 보안입니다. 그러나 모두가 깊이 관여하는 것처럼 ...
BitcoinistCertiK는 CryptoCars를 잘못된 경보로 '러그 풀'로 식별합니다.
이 오류는 무엇보다도 프로젝트의 메인 사이트에서 일시적인 웹사이트 중단으로 인해 발생했습니다.
CointelegraphWeb3 보안에 대한 수요 증가에 따라 SoftBank가 6천만 달러의 CertiK 인상 주도
Web3는 블록체인 기반 비즈니스에 많은 기회를 제공하지만 심각한 보안 취약성을 야기하기도 합니다.
Cointelegraph