TON 창립자: 파벨 두로프의 비틀거리는 삶
TON이 현재의 위기를 효과적으로 관리하고 이를 프로젝트의 원동력으로 삼을 수 있다면, 이번 이벤트는 TON이 더 널리 채택될 수 있는 전환점이 될 수 있습니다.
JinseFinance로그인/ 가입하기
다운 앤 아웃 블래스트 에코 뭉쳐블 해킹 분석
따르다
2022년 3월 27일, 자금세탁방지 분석 플랫폼 Beosin KYT의 모니터링에 따르면, Blast 에코 웹3 게임 플랫폼 Munchables가 해킹 공격을 받았으며 해커는 약 17,413.96ETH의 이익을 얻었고 6,200W 이상의 손실을 입었습니다.
Munchables는 Blast Big Bang 수상 프로젝트인 것으로 확인되었습니다.
알다시피 Munchables는 Blast Big Bang 수상 경력에 빛나는 프로젝트로, 최근 매니폴드와 메커니즘 캐피탈이 주도하는 프리 시드 라운드의 자금 조달을 완료했다고 발표했습니다.
Munchables의 TVL은 공격 발표 이후 9,600만 달러에서 3,400만 달러로 급락했습니다. Beosin 보안팀은 이 사건을 가장 먼저 분석했습니다.
● 거래에 대한 공격
https://blastexplorer.io/tx/0x3d08f2fcfe51cf5758f4e9ba057c51543b0ff386ba53e0b4f267850871b88170
https://blastexplorer.io/tx/0x9a7e4d16ed15b0367b8ad677eaf1db6a2a54663610696d69e1b4aa1a08f55c95
● 공격자 주소
0x6e8836f050a315611208a5cd7e228701563d09c5
● 공격받은 계약
0x29958e8e4d8a9899cf1a0aba5883dbc7699a5e1f
< strong>취약점 분석
이전에 체인 슬루스 ZachXBT는 공격의 원인을 조사한 결과 뭉쳐블이 도난당했거나 개발자로 위장한 북한 해커를 고용했기 때문이라고 밝혔습니다.
ZachXBT는 "뭉쳐블 팀에 고용된 4명의 개발자가 익스플로잇과 관련이 있으며, 이들은 같은 사람일 가능성이 높다고 말했습니다. 그들은 서로에게 일을 추천하고, 같은 두 개의 거래소 입금 주소로 정기적으로 돈을 이체하고, 서로의 지갑을 충전했습니다."라고 말했습니다.
분석 결과, 뷰인 보안팀은 이번 공격이 북한 해커 개발자가 계약 업그레이드 기능을 이용해 담보 원장을 미리 설정한 뒤, 계약에 자금이 쌓인 후 잠금 해제 기능을 호출해 계약 내 이더리움을 상승시키는 방식으로 주로 이뤄졌다는 사실을 밝혀냈습니다.
공격 흐름
공격 준비 단계:
해커 개발자는 백도어가 포함된 구현 계약 0x910fFc04A3006007A453E5dD325BABe1e1fc4511을 미리 생성하고 해커 자신의 담보 원장을 매우 큰 값으로 미리 설정했습니다.
공격 단계 :
공격자는 잠금 해제 기능을 호출하여 이더리움을 탈취하며, 공격 준비 단계에서 해커가 이미 담보 원장을 설정했기 때문에 검사는 간단히 우회됩니다.
도난 사건 이후 뭉쳐블은 소셜 미디어를 통해 앞서 발표한 개인키 공유에 대해 보안 담당자의 사용자 자금 회수를 돕기 위해 개인키를 공유한다고 추가 설명했습니다. 구체적으로 62,535,441.24 달러의 암호화폐 자산이 포함된 개인 키, 73 WETH가 포함된 개인 키, 나머지 자금이 포함된 소유자의 개인 키가 공유되었습니다.
프로젝트 소유자뿐만 아니라 사용자들도 불안해하고 있습니다.
14일 오후(한국 시간 기준), 뭉쳐블 공격자들은 17,000 이더를 모두 다중 서명 지갑에 반환했습니다.
이 글을 게시하는 시점에서 탈취한 자금은 다중 서명 계약으로 반환 및 전송되었습니다.
30분 후, Blast의 설립자 팩맨은 X 플랫폼에서 블라스트의 핵심 기여자들이 다중 서명을 통해 9,700만 달러(도난당한 이더리움 17,400개와 프로토콜에 남아 있는 9만 4,550wETH, 현재 가치 9,600만 달러)를 받았다고 발표했습니다. 결국 몸값 없이 모든 자금을 돌려주기로 결정한 전 뭉쳐블 개발자에게 감사하며, 뭉쳐블도 이 공지를 리트윗하며 "모든 사용자 자금은 안전하며, 락아웃은 시행되지 않을 것이며, 모든 Blast 관련 보상은 분배될 것입니다. 앞으로 며칠 내에 업데이트가 이루어질 예정입니다."
동시에 이전에 동기화되었던 Juve도 같은 방식으로 이전에 뭉쳐블 공격의 영향을 받았던 Juice도 자금이 안전하며, 뭉쳐블 개발자들로부터 모든 wETH를 회수했으며, 사용자들이 자금을 인출할 수 있도록 팩맨 및 블라스트와 협력하여 wETH를 Juice로 다시 전송하고 있다고 발표했습니다.
최고점 놀랍게도 해커들이 자금을 반환한 이유는 아직 알 수 없지만, 이 사건은 보안의 중요성을 다시 한 번 일깨워주는 또 다른 경각심을 불러일으키는 계기가 되었습니다.
유익한 보고서를 통해 암호화 산업에 대한 더 넓은 이해를 얻고 비슷한 생각을 가진 다른 저자 및 독자와 심도 있는 토론에 참여하십시오. 성장하는 Coinlive 커뮤니티에 참여하실 수 있습니다.https://t.me/CoinliveSG
댓글 추가
로그인당신의 멋진 의견을 남겨주세요…
0 코멘트
가장 이른
더 많은 댓글 로드
추가 뉴스 ups aptos
추가 뉴스 ups aptos
- JinseFinance
EU, 어려움을 겪고 있는 기술 스케일업을 지원하기 위해 블록체인을 주목하다
유럽은 기술 스케일업을 위한 지속적인 자금 격차에 직면해 있으며, 대부분의 투자가 해외에서 이루어지고 있습니다. EU는 이러한 재정적 문제를 해결하기 위해 블록체인을 사용하여 자본 흐름과 투자자 유치를 개선할 것을 암시합니다.
Cheng YuanOpenAI, 높은 수요로 인해 ChatGPT 플러스 가입 일시 중단
CEO인 샘 알트먼은 새로운 API가 소개된 OpenAI 데브데이 이후 사용량이 급증하여 이 같은 결정을 내렸다고 전했습니다. 알트만은 플랫폼의 용량이 초과되어 사용자 경험에 영향을 미치고 있다고 언급했습니다.
Aaron앱토스 다운, 제2의 솔라나?
앱토스, 5시간 정전 후 네트워크 재개
Aaron페이팔 파트너인 팍소스의 웁스 모멘트: 510,750달러의 비트코인 수수료 버그
페이팔은 최근 비트코인 거래 수수료로 무려 510,750달러를 초과 지불해 화제가 된 바 있습니다. 페이팔 대변인에 따르면, 페이팔의 인프라 파트너인 팍소스가 대신 책임을 졌다고 합니다.
Catherine규제 롤러코스터: 암호화폐 세계의 기복
각 국가의 관할권은 고유한 조치로 규제 문제에 접근하고 있습니다. 일부는 암호화폐 단속을 시작했고 다른 국가는 보다 고무적인 입장을 채택했습니다.
CatherineAFFLUX First Demo Day에서 눈에 띄는 16개의 스타트업
Coinlive 압토스 논란 폭로
Coinlive Nvidia, 새로운 개발자 도구로 메타버스 베팅 강화
Nvidia Omniverse는 디지털 세계의 크리에이터와 개발자가 메타버스의 삶을 더욱 현실적으로 만들기 위해 일련의 새로운 도구를 출시합니다.
Cointelegraph크립토 슬럼프 후 피싱 공격, 메타버스 사용자 대상 팝업 공격
지난 주 시장이 폭락에 직면하고 그 어려운 기간 동안 Binance의 중단으로 인해 암호 화폐 소유자에게 끔찍한 것으로 판명되었지만 ...
Bitcoinist