로그인/ 가입하기

Concentric.Fi 보안 이벤트 해체하기

2024/02/07 20:48

따르다

1월 22일, Concentric.fi가 공격을 받아 185만 달러 이상의 피해를 입었습니다. Concentric은 공식 소셜 미디어 계정을 통해 이 공격이 표적화된 '소셜 엔지니어링 공격'이라고 발표했습니다. 공격이라고 밝혔습니다.

사회공학적 공격은 공격자가 공격 대상과 정상적인 커뮤니케이션을 통해 공격자를 신뢰하도록 속이고 심리적으로 영향을 준 다음 공격자의 목적을 달성하기 위해 기밀을 유출하거나 특정 행동을 하도록 유도하는 공격입니다.

컨센트릭에 대한 공격에서 팀의 계약 관리자 중 한 명의 지갑이 손상되었습니다. 공격자는 해당 지갑을 장악한 후 컨센트릭의 볼트 컨트랙트를 악의적으로 업그레이드하여 컨센트릭의 사용자뿐만 아니라 유동성 풀에도 손실을 초래했습니다.

사고 개요

2024년 1월 22일, Concentric은 X 계정에 보안 사고가 발생했을 수 있다는 경고를 게시했습니다.

서티케이 보안팀은 즉시 조사에 착수했습니다. 컨트랙트 주소 활동을 조사하는 과정에서 컨센트릭의 유동성 풀에서 자금을 인출하는 방법으로 CONE-1 LP를 반복적으로 채굴하고 이를 소멸시키는 의심스러운 지갑 주소를 발견했습니다.

다음 스크린샷에는 의심스러운 거래 중 일부가 포함되어 있습니다:

컨센트릭 팀은 나중에 이 사건이 관리자 지갑 중 하나의 개인 키 유출로 인해 발생했다고 발표했습니다. 해당 지갑은 0x3F06으로 시작하는 주소로 소유권을 이전했고, 그 결과 컨센트릭의 플로우 풀링 코드가 공격자가 제어할 수 있는 악성 컨트랙트로 업그레이드되었습니다.

이렇게 업그레이드된 악성 컨트랙트를 통해 공격자는 대량의 LP 토큰을 발행하고 해당 ERC-20 토큰을 인출할 수 있었으며, 이 토큰은 결국 ETH로 교환되어 다음 세 지갑으로 전송되었습니다. 이 지갑들은 모두 이전 공격과 연관되어 있습니다:

① 0xFD681A9aA555391Ef772C53144db8404AEC76030

② 0xFD681A9aA555391Ef772C53144db8404AEC76030

③ 0xFD681A9aA555391Ef772C53144db76030

② 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (이더스캔에서 "OKX Exploiter 2"로 표시)
③ 0x17865c33e40814d691663bC292b2F77000f94c34
또한, 0xc62A25462A61f02EBAB35Cd39C5E9651426e760b 컨트랙트는 사용자가 승인한 자금을 탈취할 수 있습니다. 동심원 승인 자금. 탈취된 자금은 이더리움으로 교환되어 0x5c0e로 시작하는 주소로 이체되었으며, 보도 시점에 15만 달러 이상이 이러한 방식으로 도난당했습니다. 그리고 두 가지 방법으로 인한 총 손실액은 185만 달러가 넘습니다.
재범
확인된 악성 지갑 주소 중 이번 공격이 이전의 여러 공격과 연관되어 있음을 확인할 수 있었습니다.
이 공격 이전에 공격자 주소의 원본 자금은 2023년 초에 발생한 UnoRe 공격과 관련된 지갑 주소에서 나왔습니다. 공격이 완료된 후, 컨센트릭의 공격자들은 훔친 자금을 이전 OKX 공격과 관련된 지갑 주소로 이체했습니다.
2023년 12월 13일, 더 이상 사용되지 않는 OKX DEX 마켓 메이커 계약이 해커들에 의해 장악되었고, 이들은 권한 상승을 통해 자산을 탈취하여 약 270만 달러의 손실을 발생시켰습니다. 이 사건의 공격자들은 루나피, 우노 리, RVLT 등에 대한 여러 공격과 관련이 있는 것으로 추정됩니다.
다음 차트는 여러 사건을 연결할 수 있는 자금 흐름을 분석해 보여줍니다:
공격 흐름
1) 먼저, 0xeaf6으로 시작하는 Concentric 배포자 주소가 손상되었습니다. 공격자는 접근 권한을 사용하여 0x3F06으로 시작하는 주소로 컨트랙트의 소유권을 이전했습니다.
2) 컨트랙트 소유권을 장악한 후 0x3F06은 악성 업그레이드를 위해 콘풀 컨트랙트를 악의적인 업그레이드를 위해 전송합니다.
새 컨트랙트에서 공격자는 다음 위치에서 콘 풀 컨트랙트를 파괴할 수 있습니다. 0x60d8에서 CONE-1을 파괴하고 0x105f로 재캐스트합니다.
③ 컨트랙트 업그레이드가 완료되면 공격자는 adminMint()를 호출하여 각 유동성 풀에서 CONE-1을 추출한 다음 burn()을 호출하여 해당 기초 자산으로 CONE-1을 교환할 수 있습니다.
④ 다음으로, 공격자는 두 번째 컨트랙트를 생성했습니다. 사용자가 승인된 자산을 유동성 풀로 전송하고 지정된 자산을 유동성 풀에서 전송할 수 있도록 허용합니다. 0xc62a와 0x3F06은 모두 공격자가 제어합니다.
⑤ 0x105f로 시작하는 주소는 탈취한 자산을 715 ETH로 교환했습니다. 715 ETH로 교환되어 세 개의 지갑으로 각각 전송되었습니다. 300개의 ETH가 전송된 지갑 주소는 이전 OKX 공격과 관련된 것으로 확인되었습니다.
이 외에도 0xc62a로 시작하는 주소도 탈취한 자산을 다음 주소로 보냈습니다. 0x5c0E945Fc1c83D8d10E9c6366E2cBC5241532AEc로 65.4 이더를 전송하여 총 손실액은 780 이더, 약 185만 달러가 조금 넘는 것으로 나타났습니다.
결론
과거에는 피싱과 소셜 엔지니어링 전술을 사용하여 개인 자산을 장악하려는 공격자로부터 자신을 방어하는 경우가 많았지만, 동일한 전술이 다음과 같은 목적으로도 쉽게 사용될 수 있습니다. 프로젝트 소유권을 제어할 수 있습니다.
피싱과 개인 키 유출로 인한 손실은 2024년 1월에 1억 7천만 달러로, 1월 전체 손실의 거의 90%를 차지했습니다. 1억 1,250만 달러의 손실을 초래한 크리스 라센의 개인 계정 도난 사건보다 더 심각한 사건은 없었으며, 이번 Concentric의 사건은 기존의 소셜 엔지니어링 공격이 방치될 경우 웹 3.0 생태계의 보안에 치명적인 영향을 미칠 수 있음을 다시 한번 입증했습니다.