블록체인 분석 회사 체이널리시스(Chainalytic)에 따르면 지난 1월 이더리움 기반 프로토콜 트루비트(Truebit)에서 2600만 달러를 빼낸 암호화폐 해커가 더 작은 대상을 대상으로 이 기술을 먼저 실행했을 가능성이 크다.
수년간 노출된 계약
Truebit 익스플로잇은 Chainalytic이 새로운 보고서에서 확인한 4건의 사건 중 가장 큰 사건이었습니다. 보고서 지난 6개월을 다루고 있습니다. Truebit, Trusted Volumes, Aperture Finance 및 Ekubo를 표적으로 삼은 이러한 공격을 합하면 약 3,700만 달러의 손실이 발생하며, 모두 블록체인 탐색기에서 소스 코드가 공개적으로 확인되지 않은 계약으로 추적됩니다.
Truebit 계약이 체결되었습니다. 이더리움 자동 오버플로 보호가 표준이 되기 전에 출시된 버전인 Solidity v0.5.3을 사용하여 컴파일되었습니다. 공격자는 본딩 곡선 메커니즘 내에서 정수 오버플로 결함을 발견하고 이를 사용하여 ETH로 변환하기 전에 최소한의 비용으로 대량의 토큰을 발행했습니다.
폐쇄형 코드가 공개 위험을 초래하는 이유
검증된 계약이 검토됩니다. 버그 현상금 사냥꾼이 이를 읽었습니다. 독립적인 연구자들은 공격자가 나타나기 전에 문제를 신고합니다. 확인되지 않은 계약은 그러한 조사를 전혀 받지 않으며 많은 버그 현상금 프로그램은 이를 적용 범위에서 특별히 제외합니다. 즉, 영향을 받는 코드를 통해 수백만 달러가 흘러가는 동안 취약점은 수년 동안 그대로 유지될 수 있습니다.
체이널리시스는 공격자들이 현재 이러한 격차를 악용하고 있다고 밝혔습니다. 손상된 4개의 계약 각각에는 공개적으로 사용 가능한 소스 코드가 부족했습니다. 공격자들은 디컴파일된 바이트코드 대신 Dedaub, Heimdall, 파노라마믹스.
일단 디컴파일된 코드는 인간 검토자가 따라올 수 없는 규모로 재진입 결함, 산술 오류 및 액세스 제어 약점을 찾아낼 수 있는 AI 시스템에 공급될 수 있습니다.
3,670만 달러라는 수치는 같은 기간 동안 발생한 총 DeFi 손실의 일부에 불과합니다. Chainalytic은 6개월 간의 도난 총액을 10억 달러 이상으로 추정합니다. 그러나 회사는 자동화된 분석 도구가 더 저렴해지고 사용하기 쉬워짐에 따라 확인되지 않은 계약 문제가 커질 수 있다고 주장합니다. 이로 인해 공격자는 수많은 휴면 계약을 스캔하고 악용 가능성에 따라 순위를 매길 수 있습니다.
취약점은 다양했지만 패턴은 그렇지 않았습니다.
네 가지 사건에서 구체적인 버그는 달랐습니다. 보고서에 따르면 정수 오버플로 및 액세스 제어 실패부터 입력 유효성 검사 오류 및 신원 확인 결함까지 다양한 취약점이 나타납니다.
그들이 공유한 것은 동일한 보호 격차였습니다. 즉, 공개 소스 코드가 없고, 외부 검토가 없으며, 자금이 소진되기 전에 비정상적인 활동을 포착하기 위한 실시간 모니터링이 이루어지지 않았습니다.
Chainalytic은 프로토콜이 소스 코드 검증을 사용자 자산을 보유하는 모든 계약에 대한 기본 요구 사항으로 처리할 것을 권장합니다.
또한 회사는 감사 및 버그 포상금 적용 범위가 대리 구조 뒤에 있는 구현 계약까지 확대되어야 한다고 말합니다. 이는 전면 계약이 검증된 경우에도 종종 검토되지 않는 구성 요소입니다.
CybersecAsia의 주요 이미지TradingView 차트
