2021년 상반기 가장 두드러진 6가지 익스플로잇 충격

2021년 상반기에 가장 눈에 띄는 6가지 익스플로잇(해킹)을 요약하고 프로젝트의 총 피해 및 솔루션을 나열합니다.

안녕하세요 여러분.

오늘은 2021년 상반기에 가장 인기 있는 익스플로잇(해킹)을 요약한 기사를 공유하려고 합니다. 동시에 해커에 의해 해킹된 프로젝트, 사건의 총 피해 및 솔루션을 나열합니다. 자세한 내용은 다음 기사를 참조하십시오.

익스플로잇 개요 

익스플로잇 은 악용하고 이익을 얻기 위해 의도적으로 버그나 보안 허점에 들어가는 개인 또는 사람들 그룹(익명)의 공격에 대해 이야기하는 데 사용되는 용어입니다. 이 용어는 암호화 및 비암호화 모두에 적용됩니다.

공격은 일반적으로 네트워크 운영 체제, Dapp 또는 모든 소프트웨어 코드에서 발생합니다. 경우에 따라 많은 해커가 사용자 정보, 자금 자산과 같은 시스템 데이터를 훔치거나 소프트웨어에 바이러스를 넣어 관련 노드를 파괴합니다.

일반적인 익스플로잇 분류

Exploit은 전자 산업에서 잘 알려져 있으며 Exploit에도 다양한 유형이 있습니다. 이해를 돕기 위해 다음과 같이 분류하겠습니다.

• Remote Exploit : 주 보안 시스템의 버그를 다른 컴퓨터/네트워크에서 원격으로 악용하는 과정입니다.
• 로컬 익스플로잇( Local Exploit ) : 메인 시스템에서 바로 보안 시스템의 버그를 악용하고 점차적으로 권한을 업그레이드하고, 비밀번호를 해독하고, 다른 사람의 데이터를 악용하는 형태입니다.
• 관리자 액세스(관리자 수준 액세스/루트)에 침투하여 거기에서 개인적인 이득을 취하는 행위를 수행하는 또 다른 유형의 익스플로잇이 있습니다.

암호화에서 악용

크립토에서 익스플로잇은 스마트 계약의 취약점에 대한 공격이나 웹사이트, Dapp, IoT, API, UI-UX 등과 같이 일반적으로 발견되는 보안 결함에 대한 공격으로 알려져 있습니다.

종종 방금 프로그래밍된 소프트웨어는 실행 중에 오류가 발생할 수 있으며 이러한 보안 허점은 구성, 애플리케이션(Dapp), 수축 랩 코드 및 운영 체제에 자주 나타납니다.

기술적 취약점은 종종 해커에 의해 발견됩니다.

해커의 공격은 결과가 발생할 때까지 감지하기 어려운 경우가 많으므로 신제품 출시 시 블록체인 프로젝트는 커뮤니티를 위한 테스트넷, 데브넷 및 버그 바운티 이벤트를 개최하는 경우가 많습니다.

버그 바운티는 프로젝트에서 종종 Dapp에 적용하는 보안 프로그램으로, 부분적으로는 사용자 경험을 조사하고 다른 부분은 제품의 보안 허점(버그)을 감지하기 위한 것입니다. 

Bug Bounty는 해커의 공격을 받아 다른 많은 법적 문제와 함께 수천 백만 달러를 잃는 대신 미래에 발생할 수 있는 위험을 어느 정도 제한할 것입니다. 

2021년의 6가지 뛰어난 익스플로잇 사례

폴리 네트워크

폴리 네트워크는 다중 체인 상호 작용을 위해 배포된 네트워크로 차세대 인터넷 인프라를 구축합니다. 블록체인은 정보 액세스, 신뢰 및 일관성에 있어 개방형 네트워크 및 투명 승인 메커니즘(투명성)을 통해 폴리 네트워크에 연결할 수 있습니다. 

또한 Poly Network는 다른 많은 블록체인을 연결하고 Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo 및 Huobi ECO Chain과 같은 많은 플랫폼을 통합했습니다. 지금까지 폴리 네트워크는 거버넌스 메커니즘에 토큰이 없었습니다.

폴리네트워크가 6위 안에 드는 이유는 최근 8월 10일 폴리네트워크의 트위터가 크로스체인 공격을 당했다고 확인했기 때문이며, 이 사건의 피해액은 6억 1100만 달러로 추산된다. 구체적으로, 손상에는 다음이 포함됩니다.

• 이더리움에서 2억 7,300만 달러 .
• BSC에서 2억 5,300만 달러 .
• 폴리곤에 8,500만 달러 .

게다가 Poly Network에 구축된 플랫폼인 O3 Swap 도 부분적으로 영향을 받아 이 경우에 대한 정확한 데이터가 아직 없습니다.

Poly Network는 Certik 의 감사를 받았지만 위와 같은 예기치 못한 상황이 발생하는 것은 불가피합니다. 프로젝트는 현재 이 사건을 조사하고 있으며, 구체적인 정보는 폴리 네트워크의 새로운 발표가 나오는 대로 업데이트될 것입니다.

알파금융연구소

Alpha Finance Lab 은 다양한 블록체인의 사용자를 지원하는 대출 및 차용 제품 및 서비스를 포함한 바이낸스 스마트 체인 생태계에 구축된 DeFi 크로스체인 플랫폼입니다. 

ALPHA는 프로젝트의 대표적인 기본 토큰으로 시스템에서 거버넌스를 제공하고 대출 또는 차용에서 유동성 마이닝을 지원하며 수익을 창출하기 위해 ALPHA를 Staking할 수도 있습니다. 

Alpha Finance가 Exploit 사례 중 상위 6위에 드는 이유는 공격 후 총 피해액이 3,750만 달러로 상당히 크기 때문입니다.

이벤트 요약

2021년 2월 13일 아침 해커가 Alpha Homora V2 프로토콜을 공격했고 이후 조사를 위해 대출 거래가 중단되었습니다. 이 공격은 해커가 위의 금액을 박탈하기 전에 특히 다음과 같은 많은 조치를 취했기 때문에 매우 복잡하다고 합니다.

• 해커는 가상 주소를 만들고 ETH를 UNI로 교환하고 Uniswap에서 ETH + UNI 쌍에 대한 LP를 추가했습니다(LP 토큰을 얻기 위해). 같은 거래에서 그는 ETH를 sUSD로 교환하고 sUSD를 Cream Iron Bank에 입금했습니다.
• Alpha Homora V2에서 해커들은 cySUSD 보유량을 늘리기 위해 sUSD와 Aave를 빌렸습니다. 거기에서 해커는 $13,244 ETH를 더 빌렸습니다. $4,263,139 DAI; $3,997,921 USDC 및 $5,647,242 USDT.
• 다음으로 Aave에 1,000 ETH를 Iron Bank에, Alpha Homora V2에 320 ETH를 Tornado.cash에 예치합니다.
• 거래 후 해커의 개인 지갑에는 10,925 ETH(2천만 달러 상당)가 남았습니다.

이 사건의 취약점은 Alpha Finance Lab, Andre Cronje 및 Cream Finance에서 조사 및 조사했으며, 이 해킹에는 9건의 거래와 4건의 다른 작업이 포함됩니다. DeFi 시장은 여전히 ​​​​신생하고 많은 잠재적 위험이 있음을 알 수 있습니다. 

결과

알파파이낸스랩 역시 해킹으로 3,750만 달러의 손실을 입었을 뿐 아니라 프로젝트 발표 이후 ALPHA 토큰 가격이 큰 폭으로 하락했다. 39.22%로..

라리캐피탈 

Rari Capital(RGT) 은 Ethereum 블록체인 플랫폼에서 자동화된 yield Farming 프로토콜로 알려져 있으며 Compound, dYdX, yEarn 등과 같은 DeFi Space의 유동성을 유치하는 데 도움이 됩니다. 또한 Rari Capital이 목표로 하는 목표는 사용자를 위한 효율적인 농업 환경.

RGT는 출시 이후 지금까지 $0.2(2020년 11월 5일) ~ ATH $27.37(2021년 4월 15일)까지 엄청난 가격 상승을 경험했으며, Rari Capital 플랫폼이 지속적으로 발전하고 있음을 알 수 있습니다. 해커를 위한 미끼"입니다.

이벤트 요약

5월 8일, Rari Capital은 해커가 시스템에 침입하여 2,600 ETH를 유출했다고 보고해야 했습니다. 이는 당시 총 사용자 자금의 60%(추정 $10,000,000)의 손실이었습니다. 나는 사건을 다음과 같이 간략하게 요약할 것이다.

• 해커들은 가짜 토큰을 만들어 SushiSwap에 모았습니다.
• 그런 다음 그들은 Alpha Finance의 기능에서 취약점을 이용하고 Rari ETH 풀 계약에서 ibETH를 받기 위해 Alpaca Homora에 액세스했습니다.
• 마지막으로 해커는 Rari ETH 풀에서 ibETH를 ETH로 변환했습니다.

결과

이미지 출처: Rekt Capital

공격 후 RGT 가격은 40% 이상 하락했습니다. Quantstamp 에서 토큰을 감사했지만 이 취약점이 무시되어 Rari Capital에 큰 손실을 입혔다는 점은 언급할 가치가 있습니다. 내가 아는 한 라리는 나중에 사용자에게 보상하기 위해 200만 RGT를 공제해야 했다.

팬케이크 버니 파이낸스

농업을 사랑한다면 Pancake Bunny(BUNNY) 는 이상한 이름이 아닙니다. 이것은 Binance Smart Chain의 수익 집계 및 농업 최적화 도구입니다. Ethereum의 Yearn Finance 와 유사하게 Pancake Bunny Finance는 Pancake를 주요 Yield Farming 플랫폼으로 사용합니다. 

사용자가 CAKE를 구매하고 풀에 추가하여 농업에서 복리 이자를 얻을 수 있습니다. Pancake에는 플랫폼의 사용자 수를 확장하기 위해 ETH-BSC 사이에도 다리가 있습니다. BUNNY는 관리 및 PancakeSwap에서 수수료로 사용되는 프로젝트를 나타내는 기본 토큰입니다.

이벤트 요약

특히 5월 20일 Pancake는 무담보 대출의 한 형태인 익스플로잇 공격 플래시 대출 을 신고해야 했습니다. 응용 프로그램에서 이 기능의 허점을 이용하여 해커는 다음을 통해 침투하고 공격했습니다.

• 그들은 PancakeSwap을 사용하여 WBNB 풀에서 많은 양의 BNB를 빌립니다(Fortube 은행에 따르면).
• 해커는 296만 USDT 및 7,886 WBNB를 풀에 예치하고 144.45만 LP 토큰을 발행했습니다.
• 많은 양의 LP 토큰을 손에 넣은 상태에서 Vault Flip To Flip에서 697만 BUNNY 보상을 청구하고 시장에 강력한 방출을 가져왔습니다.
• 해킹당한 BUNNY를 모두 성공적으로 매각하고 이전 플래시 대출에서 빌린 BNB를 상환하기 위해 돌아왔습니다.

결과

이미지 출처: Rekt Capital

이 사건으로 BUNNY의 가격이 갑자기 6달러까지 떨어졌고 당시 Pancake Bunny의 TVL은 10억 달러(성수기에서 10로 나눈 값)에 불과했습니다.

총 피해액은 240만 달러로 추정되며, 해치의 감사조차 이 공격으로부터 팬케이크 버니를 보호할 수 없었고, 

토르체인 

THORChain(RUNE) 은 블록체인 프로토콜 프로젝트로 알려져 있으며, 체인에 구애받지 않는 브리징 프로토콜을 구축하여 서로 다른 멀티체인 간의 연결 및 가치 교환을 가능하게 합니다. THORChain은 또한 레이어 1 유동성, 자산의 즉각적인 스왑 및 Crypto의 가격 변동 정산을 제공합니다. 

RUNE는 거래 수수료, 스테이킹/투표 및 검증인에 대한 보상을 목적으로 THORChain 플랫폼의 기본 토큰입니다.

THORChain은 또한 가장 최근의 상위 6개 익스플로잇에 이름을 올렸습니다. 단 한 달 동안 THORChain은 2건의 해커 공격에 직면하여 거의 1,300만 달러의 손실을 입었습니다.

이벤트 요약:

• 앞서 7월 15일, THORChain은 해킹을 통해 2,500 ETH(추정 5백만 달러)를 훔쳤습니다. 이 공격은 Bifrost 프로토콜 입니다.
• 그리고 7월 말쯤 ERC-777 토큰(ETH 라우터 계약) 관련 오류로 '화이트 햇 해커'에 의해 800만 달러를 더 잃었다.
• 해커는 가짜 라우터를 만들고 Thorchain 라우터에서 작업을 수행했습니다.

결과

룬의 가격이 25% 하락했습니다. 권위 있는 Certik 팀의 감사를 받았지만, 오류와 대량 발생 빈도 이후 커뮤니티는 걱정하고 도주하는 기색을 보이기 시작했습니다. 아래와 같이 7월 캔들스틱 패턴을 볼 수 있습니다.

아이스 파이낸스

간단히 정의하자면, Popsicle Finance 는 다양한 플랫폼에서 유동성을 제공하는 데 도움이 되는 다중 체인 수익 집계 플랫폼입니다. 이 프로젝트는 사용자가 빠른 유동성을 제공하고, 가스 요금을 절약하고, Uniswap, SushiSwap, Pancakeswap과 같은 많은 AMM을 지원하도록 돕는 것을 목표로 구축 및 개발되었습니다. 

ICE가 프로젝트의 대표 토큰이라는 점 외에도 현재 팀은 이 토큰의 기능을 업데이트하지 않았으며, 향후 ICE는 Popsicle 플랫폼의 주요 전환 수수료로 투표에 사용될 것입니다.

새로운 프로젝트이기 때문에 Peckshield의 감사를 받았지만 Popsicle Finance는 시스템의 기술적 허점 문제를 피할 수 없습니다. 연초부터 지금까지 Peckshield는 7개의 익스플로잇, rug-pull 등을 겪었습니다. 이는 Peckshield 팀에게 걱정스러운 숫자입니다. 

이벤트 요약

• 이 사건은 방금 8월 4일에 발생했습니다. 특히 해커는 3개의 계약 A, B, C를 생성하고 다음 순서로 반복했습니다: 이체 (A) ⇒ (B) & 수수료 징수 ⇒ (C) 이체 ⇒ (A) & 수수료 징수 ( 8개의 풀에 대해 반복).
• 간단히 말해서, 그들은 계약 A에 돈을 예치한 다음 LP 토큰을 B로 전송하며, Sorbetto의 수수료 징수 메커니즘에 의존하여 해당 거래 금액을 추출합니다. 다음으로 B에서 C로 이동하는 등 8개 풀 모두에 대해 반복합니다.
• 이는 계획된 반복임을 알 수 있으며 Aave에서 3천만 USDT, 13,000 WETH, 1,400 BTC, 3천만 DAI 및 200,000 UNI를 플래시론하여 위의 8개 풀을 공격합니다.
• 사실 Popsicle의 결함은 위 프로젝트의 이벤트에 비해 매우 간단합니다. 이 해킹의 주요 원인은 LP 토큰을 전송할 때 수수료가 제대로 계산되지 않기 때문입니다.

결과 

Popsicle Finance는 충돌 발표 이후 ICE 토큰 가격 하락과 함께 최대 2,500만 달러의 손실을 입었습니다. 

결론 

연초부터 크립토 마켓에서 Exploit, Rug-pull 등이 42건 발생했습니다. 이것은 또한 일부 프로젝트의 최근 가격 변동에 중요한 요소입니다. DeFi Spaces는 특히 오늘날과 같이 시장이 지속적으로 진화할 때 화이트 햇 해커에게 좋은 먹이가 됩니다.

앞으로 더 엄격하고 자동화된 감사 솔루션이 있습니까? Coin98 Insights News 채널을 즉시 팔로우 하여 크립토 시장의 모든 뉴스와 뛰어난 이벤트에 대한 가장 빠른 업데이트를 받으세요!