주말 익스플로잇: 바이낸스 스마트 체인, 모방 공격에 시달리다

이더리움(ETH) 네트워크의 저명한 라이벌인 BNB 스마트 체인(BSC)은 일련의 모방 공격에 직면하여 약 7만 3천 달러의 암호화폐를 도난당했습니다.

이 사건은 이전에 이더리움 기반 탈중앙 금융 프로토콜인 커브 파이낸스에 영향을 미쳤던 악명 높은 공격과 매우 흡사합니다.

블록체인 보안 회사인 블록섹은 즉시 이러한 익스플로잇의 성격을 파악하기 위한 조사를 시작했습니다.

연구 결과,트위터에서 공유 에 따르면 공격자들은 바이퍼 프로그래밍 언어의 취약점을 악용하기 위해 정교한 기술을 사용했으며, 이에 BSC 커뮤니티는 놀라움을 금치 못했습니다.

이러한 모방 공격은 0.2.15, 0.2.16, 0.3.0 버전 등 특정 버전의 바이퍼 프로그래밍 언어에서 재진입 잠금 기능이 오작동했기 때문이며, 이는 BSC의 여러 탈중앙화 금융 풀에서 일반적으로 사용되는 기능입니다.

???... 재진입 잠금이란 무엇인가요?

자물쇠가 달린 문이 있고 한 번에 한 사람만 방에 들어갈 수 있다고 상상해 보세요. 하지만 이 문에는 까다로운 결함이 있습니다. 문이 닫히는 동안 누군가가 몰래 다시 들어올 수 있다는 점, 즉 테일게이팅이 가능합니다.

이로 인해 퇴실해야 할 사람이 방에서 무언가를 가져가는 등 예기치 못한 상황이 발생할 수 있습니다.

이제 이 개념을 블록체인의 스마트 콘트랙트에 적용해 보겠습니다.

재입력 잠금은 이전 사용이 완전히 완료되기 전에 누군가가 계약의 기능을 반복적으로 사용하는 것을 방지하는 보안 기능입니다.

그러나 재진입 익스플로잇에서는 영리한 공격자가 계약 코드의 이러한 결함을 악용하여 원래 작업이 완료되기 전에 계약으로 계속 돌아갑니다.

악의적인 공격자는 이 취약점을 악용하여 최초 호출이 완료되기 전에 컨트랙트의 기능을 반복적으로 호출하여 의도하지 않은 결과를 초래하고 잠재적으로 자금에 무단으로 액세스할 수 있습니다.

Vyper

원래 이더리움 가상머신(EVM)을 위해 개발된 바이퍼는 이더리움 스마트 콘트랙트 개발을 위해 솔리디티를 대체할 수 있는 보다 안전하고 사용자 친화적인 대안을 제공하는 것을 목표로 했습니다.

그러나 최근 특정 바이퍼 버전에서 발견된 취약점은 어떤 프로그래밍 언어도 잠재적인 결함으로부터 완전히 자유로울 수 없음을 강조합니다.

바이퍼는 BSC를 포함한 다양한 블록체인 플랫폼에서 사용되기 때문에 이 취약점의 영향은 BSC 생태계를 넘어 확장됩니다.