Cointime

Cointime

Download App
iOS & Android

Biswap V3Migrator 계약은 허점으로 가득 차 있으며 가짜 토큰 공격으로 인해 사용자는 돈을 잃습니다.

Validated Project

2023년 7월 1일, 공격자는 BSC(Binance Smart Chain)의 Biswap V3Migrator 계약 취약성을 악용하여 순진한 사용자로부터 약 $140,000 상당의 토큰을 훔쳤습니다. 공격자는 가짜 토큰 공격을 사용하여 마이그레이션 기능의 매개 변수를 조작하고 유동성 공급자(LP) 토큰을 V3Migrator 계약에 승인한 사용자의 유동성을 빼돌렸습니다. 이번 공격은 V3Migrator 컨트랙트가 Biswap V2에서 Biswap V3로 마이그레이션할 때 검증 파라미터가 없었기 때문에 가능했습니다. 공격이 제때 중단되지 않았다면 Biswap에 거의 수천만 달러의 자산 손실이 발생했을 것입니다.

거래

공격자는 공격을 수행 하기 위해 세 가지 트랜잭션을 실행했습니다.

https://bscscan.com//tx/0xe5c89e9ac217e4e16c2399f3597f7b5fbb73b45c1d3360788ee51ea2561def3a

https://bscscan.com//tx/0x8693a95f8481ba02ceaabed8e95b4e1eb8ac589c69c027c96b12ac5295714c3f

공격자

공격자의 주소는 [ 0xa1e31b29f94296fc85fac8739511360f279b1976 ]입니다.

공격 계약

공격 컨트랙트는 [ 0x1d448e9661c5abfc732ea81330c6439b0aa449b5 ] 공격자가 공격 하루 전인 2023년 6월 30일에 배포한 컨트랙트입니다. 계약에는 다른 매개변수로 V3Migrator 계약을 호출하는 간단한 논리가 있습니다.

공격받은 계약

공격받은 컨트랙트는 [ 0x839b0afd0a0528ea184448e890cbaaffd99c1dbf ] 2023년 6월 28일 Biswap에서 배포한 V3Migrator 컨트랙트입니다. 이 계약은 사용자가 Biswap V2에서 Biswap V3로 LP 토큰을 마이그레이션할 수 있도록 설계되었습니다.

공격 단계

공격자는 V3Migrator 계약의 결함을 악용하여 마이그레이션 기능의 매개 변수를 조작할 수 있습니다.공격 단계는 다음과 같습니다.

  1. 피해자는 Biswap V3Migrator 계약에 LP 토큰을 승인했습니다.
  2. 공격자는 피해자의 V2 LP 토큰을 소각하고 가짜 토큰으로 V3 유동성을 추가했습니다. 이 단계에서 V2 LP의 token0token1 여전히 ​​V3Migrator 계약에 있습니다.
  3. 공격자는 가짜 V2 LP 토큰을 소각하고 V2 LP의 token0token1 로 V3 유동성을 추가했으며, V3 유동성 추가에 사용되지 않은 초과 token0token1 공격자에게 다시 이전되었습니다. 동시에 이 단계의 V3 유동성도 공격자에게 귀속됩니다.

근본 원인

공격의 근본 원인은 Biswap V2에서 Biswap V3로 마이그레이션할 때 Biswap의 V3Migrator 계약에 검증 매개변수가 없었기 때문입니다. 특히 계약에 중요한 문제가 있습니다.

  • 계약은 token0token1 매개변수가 V2 LP 토큰의 실제 토큰과 일치하는지 확인하지 않습니다.

이러한 문제로 인해 공격자는 마이그레이션 기능에 가짜 토큰과 금액을 전달하고 V3Migrator 계약에 LP 토큰을 승인한 사용자로부터 실제 토큰을 훔칠 수 있습니다.

키 코드

손상된 자산

공격자[0xa1e31b29f94296fc85fac8739511360f279b1976]가 불법적으로 최대 $140,000의 자산을 획득했습니다.

자본 흐름

공격자는 $BNB와 교환하여 유동성을 인출합니다.

결국 공격자는 자금 세탁을 위해 603 $BNB를 Tornadocash로 전송했습니다.

PoC

https://github.com/SunWeb3Sec/DeFiHackLabs/blob/main/src/test/Biswap_exp.sol

안전 조언

사용자가 Biswap V3Migrator의 승인을 취소할 것을 강력히 권장합니다: https://bscscan.com/tokenapprovalchecker

결론적으로

Biswap에 대한 공격이 대표적인 예인데, 가짜 토큰 공격은 BSC의 DEX 취약점을 십분 활용하여 사용자와 프로젝트 당사자로부터 자금을 회수했습니다. 이 공격은 또한 사용자 자금을 처리하는 계약의 매개변수와 잔액을 확인하는 것의 중요성을 강조합니다.사용자는 제3자 계약에 토큰을 승인할 때 주의해야 하며 사용하기 전에 계약의 소스 코드 및 감사 보고서를 확인해야 합니다. 선도적인 Web3 보안 회사인 MetaTrust Labs는 7월 1일 이 공격을 처음 발견하고 Twitter에서 Biswap에 경고를 보냈습니다. Biswap은 또한 MetaTrust Labs에서 제안한 두 가지 대처 전략을 채택했습니다.

  • 공격자가 더 이상 LP 토큰에 액세스할 수 없도록 사용자가 가능한 한 빨리 V3Migrator 계약에 대한 권한을 취소하도록 요구합니다.
  • V3 마이그레이션을 홍보하고 사용자에게 LP 토큰 마이그레이션의 이점을 알리는 자신의 트윗을 삭제합니다.

이 공격이 제 시간에 중단되지 않으면 공격자가 가짜 토큰을 사용하여 Biswap V2에서 Biswap V3로 모든 유동성을 마이그레이션할 수 있기 때문에 Biswap의 모든 마이그레이션 계약은 수천만 달러의 손실을 입을 것이며 이는 Biswap과 그 사용자에게 해를 끼칩니다. BSC에서 DEX를 개발하는 데 있어 엄청난 타격이자 심각한 차질이 될 것입니다.

팔로우

팔로우

트위터: @ MetaTrustLabs

웹사이트: metatrust.io

스마트 계약
댓글

모든 댓글

Recommended for you

  • 미국 현물 비트코인 ​​ETF는 어제 4,397만 달러의 순유출을 기록했습니다.

    Trader T 모니터링에 따르면 미국 현물 비트코인 ​​ETF는 어제 4,397만 달러의 순유출을 기록했습니다.

  • 향후 5년간 암호화폐 정책을 결정할 새로운 유럽위원회

    유럽의회는 올 가을에 향후 5년간 EU의 암호화폐 정책을 결정할 새로운 유럽위원회를 선출할 예정입니다. 새 위원회는 이르면 11월까지 출범하지 않을 예정이지만, 이미 암호화폐 규제에 대한 위원회의 접근 방식을 예측하는 몇 가지 추세가 있습니다. 첫째, 유럽 정치의 중심이 오른쪽으로 이동하고 있으며, 이는 조세 및 혁신 접근 방식에 대한 논의에 영향을 미칠 수 있습니다. 프랑스는 정치적 불안정으로 인해 앞으로 더 많은 어려움에 직면하게 될 것입니다. 둘째, 정책 입안자들은 혁신 정책에 대한 영향력을 놓고 경쟁할 것입니다. 새로운 의원들은 암호화 정책에 초점을 맞춰 개인적 위상을 높일 가능성이 높으며, 위원회 내 고위 정책 고문들은 권력을 놓고 경쟁할 가능성이 높습니다. 셋째, 디지털 개인정보 보호와 인공지능이 EU 정책 우선순위로 확인되면서 혁신이 정책의 기둥이 될 것입니다. 위원회는 디지털시장법과 디지털서비스법을 적극적으로 시행할 것으로 예상된다. 시장 측면에서 암호화폐의 제도적 채택 증가는 정치적 개입을 촉발할 수 있는 반면, 전통 금융에서 암호화폐에 대한 더 많은 소매 투자 노출은 정치적 반응을 촉발할 수도 있습니다. EU는 글로벌 암호화 정책에 있어 상당한 진전을 이루었으며 새로운 입법 작업을 통해 기존 규칙의 효과적인 구현을 보장해야 합니다.

  • 금융감독원, 업비트 등 가상자산 서비스 제공업체 6곳 조사

    금융감독원이 지난 7월 가상자산 이용자 보호법 시행 이후 첫 번째로 가상자산 서비스 제공자에 대한 점검을 실시한다고 밝혔다. 금감원은 원화마켓 거래소 2곳, 토큰마켓 거래소 3곳, 지갑·수탁 서비스 제공업체 1곳 등 6개 기관을 조사할 계획이다. 업비트, 빗썸, 코인원, 고팍스, 코빗 등 국내 주요 원화시장 거래소 2곳이 점검 대상으로 선정된다는 점은 주목할 만하다. 검사의 초점은 규제 준수, 이용자 보호 시스템, 내부 통제 메커니즘 및 불공정 거래 감독 등입니다. 금감원은 이용자 자산관리, 콜드월렛 활용, 보험 및 적립금 현황, 거래기록 유지, 이상거래 모니터링 시스템 등을 검토하게 된다. 불법행위에 대해서는 시장질서 유지를 위해 엄중히 제재하는 동시에 기업의 자제와 감독이 강화될 수 있도록 지원하겠다고 밝혔다.

  • 1,200만 달러 규모의 암호화폐 사기 혐의를 받고 있는 한국인 남성이 성형수술을 이용해 10개월 동안 탈출했다가 체포됐다.

    9월 2일 뉴스에 따르면, 한국 경찰은 2024년 8월 40대 남성을 체포했다. 이 남성은 대규모 암호화폐 사기 사건을 계획하고 투자자 158명에게 총 160억 원을 사취한 혐의를 받고 있다. 사기 행위는 2021년 11월부터 2022년 6월까지 지속된 것으로 알려졌으며, 용의자들은 가짜 암호화폐 채굴 사업을 빙자해 투자자들에게 월 18%의 수익률을 약속했습니다. 피해자 개인의 피해액은 120만원에서 2억5000만원에 이른다. 피의자는 2023년 9월 예심에 불출석한 뒤 눈, 코, 안면윤곽 성형수술에 약 2100만원을 쓰고 가발을 착용해 외모를 바꾸는 등 10개월 동안 검거를 회피했다. 결국 경찰은 감시카메라 영상, 통화기록, 인터넷 검색기록 등의 단서를 통해 A씨를 검거하는데 성공했다.

  • Telegram은 CEO 체포에 대응합니다: Telegram은 EU 법률을 준수하고 감사는 업계 표준을 준수하며 지속적으로 개선하고 있습니다.

    텔레그램은 CEO의 체포에 대응하여 공식 X 플랫폼 계정에 다음과 같은 성명을 발표했습니다.

  • 아르헨티나, '크레시미엔토' 운동으로 현지 암호화폐 기반 개혁 추진

    8월 26일자 뉴스에 따르면, 코인데스크 칼럼니스트 벤자민 쉴러는 아르헨티나가 이제 기술 르네상스를 앞두고 있다고 말했다. 아르헨티나는 오랫동안 경제적 불안정의 상징이었지만 이제는 암호화폐를 통한 글로벌 경제 변혁의 시험장이 되고 있습니다. 아르헨티나는 치솟는 인플레이션과 엄청난 부채 속에서 경제를 안정시키고 성장을 촉진하기 위한 도구로 암호화폐를 선택하고 있습니다. 미국이 암호화폐 분야의 리더십에서 물러나면서 아르헨티나는 그 공백을 메울 기회를 포착하고 있습니다. 이러한 변화의 중심에는 지속 가능한 암호화 기반 개혁을 추진하기 위해 노력하는 암호화폐 신봉자, 기업가 및 혁신가를 하나로 묶는 "Crecimiento" 운동이 있습니다. 새로 선출된 대통령은 암호화폐의 잠재력에 관심을 보였으며 "Crecimiento" 운동은 암호화폐를 사용하여 지불, 신용, 부동산 및 기타 분야에 초점을 맞춰 경제를 재편하는 데 도움을 주고 있습니다.

  • BTC가 $60,500를 돌파했습니다.

    시장 상황에 따르면 BTC는 60,500달러를 넘어 현재 60,500.02달러에 거래되고 있으며 24시간 기준 2.72%의 상승률을 기록하고 있으니 리스크를 잘 관리하시기 바랍니다.

  • ETH는 2600 USDT를 초과하여 24시간 동안 1.47% 증가했습니다.

    OKX 시장에서는 ETH가 2600 USDT를 돌파했으며 현재 2603.85 USDT에 거래되고 있으며 24시간 동안 1.47% 상승한 것으로 나타났습니다.

  • 스위스, 암호화폐 세금 정보 공유에 대한 공개 협의 시작

    스위스는 국제 정보 교환 협정에 암호화된 세금 데이터를 포함시키는 것을 고려하고 있습니다. 연방 의회는 수요일에 새로운 법안에 대한 협의 과정을 시작했습니다. 이 법안은 111개 관할권과 암호화폐 자산 정보의 공유를 촉진하는 것을 목표로 합니다. 이러한 관할권은 현재 자동 정보 교환의 일부입니다. 공유는 OECD의 암호화폐 자산 보고 프레임워크 준수 여부에 따라 결정됩니다. 스위스는 오랫동안 암호화폐 채택의 선두주자였습니다. 루가노와 같은 곳은 세금 목적으로 테더(USDT) 및 비트코인(BTC)과 같은 암호화폐를 최초로 허용합니다. 국가의 정치적 틀에 따라 연방세청은 비트코인을 결제 수단으로 분류할 수 있습니다. 따라서 비트코인은 부가가치세(VAT)가 면제됩니다. 연방 의회는 파트너 국가와 암호화 관련 정보의 자동 교환 시작일을 설정하는 것을 목표로 하고 있습니다. 입법 제안에 대한 협의 기간은 2024년 11월 15일에 종료됩니다.

  • 스위스, 암호화폐 세금 정보 공유에 대한 공개 협의 시작

    스위스는 국제 정보 교환 협정에 암호화된 세금 데이터를 포함시키는 것을 고려하고 있습니다. 연방 의회는 수요일에 새로운 법안에 대한 협의 과정을 시작했습니다. 이 법안은 111개 관할권과 암호화폐 자산 정보의 공유를 촉진하는 것을 목표로 합니다. 이러한 관할권은 현재 자동 정보 교환의 일부입니다. 공유는 OECD의 암호화폐 자산 보고 프레임워크 준수 여부에 따라 결정됩니다. 스위스는 오랫동안 암호화폐 채택의 선두주자였습니다. 루가노와 같은 곳은 세금 목적으로 테더(USDT) 및 비트코인(BTC)과 같은 암호화폐를 최초로 허용합니다. 국가의 정치적 틀에 따라 연방세청은 비트코인을 결제 수단으로 분류할 수 있습니다. 따라서 비트코인은 부가가치세(VAT)가 면제됩니다. 연방 의회는 파트너 국가와 암호화 관련 정보의 자동 교환 시작일을 설정하는 것을 목표로 하고 있습니다. 입법 제안에 대한 협의 기간은 2024년 11월 15일에 종료됩니다.

매일 필독

대중적인 활동

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul
Cointime
Content
Company