로그인/ 가입하기

KPI를 초과하는 해커? 피해 금액 약 1억 2천만 달러 지난주 Web3 보안 사고 리뷰

일부 해커는 1000만 달러를 사용하여 솔라나 생태계에서 수억 개의 자금을 "레버리징"했으며 일부 해커는 위험을 감수하고 거래소의 양털을 훔쳤습니다.동시에 일부 Web3 프로젝트는 개인 키 유출 및 플래시 대출 공격에 직면했습니다.

Beosin EagleEye Web3 보안 조기 경보 및 모니터링 플랫폼의 모니터링에 따르면 보도 시간 기준으로 지난 주 공격 관련 보안 사고는 총 8건이 발생했으며 피해 누적 금액은 약 1억 2천만 달러에 이릅니다.

10월 9일

1. XaveFinance 프로젝트는 해커의 공격을 받아 RNBW 발행량이 1,000배 증가했습니다.

10월 9일, XaveFinance 프로젝트는 해커의 공격을 받아 RNBW 발행량이 1,000배 증가했습니다. 이 공격에서 공격자는 DaoModule 컨트랙트의 executeProposalWithIndex() 함수를 호출하여 공격자의 악의적인 제안을 실행했는데, 이는 실수로 100,000,000,000,000 RNBW를 발행하고 소유권을 공격자에게 양도했습니다. 결국 해커는 그것을 xRNBW로 교환했습니다.

2. Jumpnfinance 프로젝트에서 발생한 Rugpull, 약 115만 달러 규모

Jumpnfinance 프로젝트 Rugpull. 공격자는 0xe156 컨트랙트의 0x6b1d9018() 함수를 호출하여 컨트랙트에서 사용자 자산을 추출하여 공격자의 주소에 저장합니다. 현재 도난당한 자금 중 2100 BNB($581,700)는 Tornado.Cash로 전송되었으며 나머지 2058 BNB($571,128)는 여전히 공격자의 주소에 저장되어 있습니다.

10월 11일

1. QAN플랫폼 크로스체인 브릿지가 해커의 공격을 받아 약 189만 달러 상당의 프로젝트 당사자 개인키가 유출된 것으로 추정

이 이벤트 트랜잭션의 발신지 주소는 의심되는 프로젝트 당사자의 주소이며, 공격자는 이 주소를 통해 크로스체인 브릿지 계약의 bridgeWithdraw 기능을 호출하여 QANX 토큰을 추출한 다음 QANX 토큰을 해당 플랫폼 토큰으로 변환합니다. 도난당한 자금은 여전히 공격자의 주소에 저장되어 있습니다.

2. Rabby 프로젝트가 해킹당했습니다. 해당 계약의 승인을 취소하십시오.

이번 사고는 RabbyRouter의 _swap 함수에 외부 호출 취약점이 있어 누구나 이 함수를 호출하면 계약 사용자에게 권한이 부여된 자금을 이체할 수 있습니다. 현재 공격자는 Ethereum, BSC 체인, 폴리곤, avax, Fantom, 낙관적 및 Arbitrum에 대한 공격을 시작했습니다. 해당 계약의 승인을 취소하십시오.

3. 약 236만 달러 상당의 TempleDAO 프로젝트 해킹

이 사건은 StaxLPStaking 컨트랙트의 migrateStake 함수에 권한 검증이 없기 때문에 누구나 이 함수를 호출하여 컨트랙트 내 StaxLP를 철회할 수 있기 때문입니다. 공격자는 공격에 성공한 후 획득한 모든 StaxLP 토큰을 ETH로 교환했습니다.

10월 12일

1. ATK(Journey of Awakening) 프로젝트, 플래시론 공격 당했다

이번 사건에서 공격자는 플래시론 공격을 통해 ATK 프로젝트의 전략 컨트랙트를 공격하고 해당 컨트랙트에서 대량의 ATK 토큰을 획득한 후 획득한 ATK 토큰을 모두 약 12만 달러 상당의 BSC-USD로 전환했다.

2. Solana 생태 탈중앙화 거래 플랫폼 Mango가 해킹되어 미화 1억 1,600만 달러에 달하는 피해를 입었습니다.

해커는 총 시작 자본금이 천만 USDT인 두 개의 계정을 사용했습니다.

첫 번째 단계에서 공격자는 500만 USDC를 Mango 시장에 예치했습니다.

두 번째 단계에서 공격자는 MNGO-ERP 시장에서 4억 8,300만 PlacePerpOrder2 위치를 생성했습니다.

세 번째 단계에서는 MNGO의 가격을 $0.0382에서 $0.91로 조작하여 별도의 계정(계정 2)을 사용하여 포지션에 대해 거래했습니다.

계정 2는 이제 4억 8,300만 * ($0.91 - $0.03298) = 4억 2,300만 달러를 보유하고 있어 공격자가 1억 1,600만 달러의 자금을 빌려줄 수 있습니다.

10월 13일

1. FTX 거래소, 가스 도용 공격 당했다

FTX 거래소는 가스 도난 공격을 받았고, 해커들은 FTX에서 지불한 가스 수수료를 사용하여 대량의 XEN TOKEN을 주조했습니다. 이 사건에서 공격자는 FTX 핫월렛을 이용하여 소액의 이더리움을 수차례 인출하였고, FTX 핫월렛 주소는 공격 컨트랙트 주소로 소액의 자금을 수차례 이체한 후, FTX 핫월렛의 fallback() 함수를 호출합니다. 공격 계약 이 기능을 통해 공격자는 Xen 계약에 대한 발행 요청을 시작합니다. Xen 컨트랙트는 무료 코인 생성을 지원하기 위해 시간 제한만 통과하면 되고 트랜잭션 가스 수수료만 지불하면 됩니다.그러나 이 호출 프로세스에서 트랜잭션 개시자는 FTX 핫 월렛 주소이므로 전체 호출 프로세스는 FTX 핫 월렛 주소로 결제가 이루어지며 Xen minting 주소는 공격자의 주소이므로 공격 목적을 달성합니다.