위험 경고: '가상화폐', '블록체인'이라는 이름으로 불법 자금 모집 위험에 주의하세요. — 은행보험감독관리위원회 등 5개 부처
정보
발견
검색
로그인
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
시장 동향 보기
Flurry Finance 도난 사건 분석: 프로젝트가 "위험한 벽 아래" 서 있지 않습니다.
CertiK
特邀专栏作者
2022-02-23 11:17
이 기사는 약 2039자로, 전체를 읽는 데 약 3분이 소요됩니다
베이징 시간으로 2월 22일, CertiK 보안 전문가 팀은 Flurry Finance의 Vault 계약이 공격당한 것을 감지했습니다.

공격 단계

아래에서 CertiK 보안 팀은 계약 주소 및 공격 작업 측면에서 자세한 해석 및 분석을 제공합니다.

공격 단계

①공격자는 악의적인 토큰 계약(공격 계약으로도 사용됨)을 배포하고 토큰과 BUSD에 대한 PancakeSwap 거래 쌍을 생성했습니다.

공격자: https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

악성 토큰 계약: https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

PancakeSwap 거래 쌍: https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

②공격자는 Rabbit's Bank 컨트랙트에서 플래시 론을 만들고 StrategyLiquidate의 실행 메서드를 트리거합니다.

execute 메서드는 입력 데이터를 LP 토큰 주소로 디코딩하고 악성 토큰 계약 주소를 추가로 얻습니다.

공격자는 악의적인 토큰 계약의 공격 코드를 사용하여 예비 공격을 시작합니다.

StrategyLiquiddate 계약: https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

③악의적인 토큰 컨트랙트는 FlurryRebaseUpkeep 컨트랙트의 performUpkeep 메소드를 호출하고, Vault 컨트랙트의 해당 금액을 다시 계산하고, 연결된 Rho 토큰의 승수를 업데이트합니다.

여기서 승수는 Rho 토큰의 잔액 계산에 사용됩니다. Vault 계약의 해당 금액이 다시 명시되고 이와 관련된 Rho 토큰의 배수가 업데이트됩니다. 여기서 승수는 Rho 토큰의 잔액 계산에 사용됩니다. 이 업데이트는 Vault 계약과 관련된 수익 전략 계약의 잔액을 기반으로 합니다.

업데이트는 플래시론 프로세스 중에 트리거됩니다.이 시점에서 플래시론은 아직 종료되지 않았고 대출 금액은 아직 반환되지 않았으므로 은행 계약의 현재 잔액은 정상 가치보다 훨씬 적습니다. 이 은행 계약은 또한 특정 전략의 일부로, 특정 전략의 잔액을 정상 값보다 작게 만들고 승수를 정상 값보다 작게 만듭니다.

FlurryRebaseUpkeep 계약: https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

Vault 계약 중 하나: https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

④ 공격자는 플래시론 금액을 되돌려 초기 공격을 완료하고 차후 공격을 준비하여 수익을 낸다.

⑤ 다음 거래에서 공격자는 이전 거래에서 얻은 낮은 승수로 토큰을 예치하고, 그 승수를 더 높은(정상) 값으로 갱신하고, 높은 승수로 토큰을 출금합니다. 예를 들어 초기 공격 트랜잭션 중 하나에서 승수가 4.1598e35로 업데이트되었습니다.

추가 공격 트랜잭션에서 배수가 4.2530e35로 업데이트되었습니다.

공격 예: https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

⑥ 승수는 Rho 토큰의 잔액을 결정하는 요소 중 하나이기 때문에:

거래에서 공격자의 Rho 토큰 잔액이 증가하여 Vault에서 더 많은 토큰을 인출할 수 있었습니다.

텍스트

마지막에 쓰기

이 사고는 주로 외부 종속성에 의해 발생했습니다.

또한 CertiK 공식 홈페이지 https://www.certik.com/에는 커뮤니티 경고 기능이 추가되었습니다. 공식 홈페이지에서는 취약점, 해커 공격, Rug Pull과 관련된 다양한 커뮤니티 경고 정보를 상시 확인할 수 있습니다.

이번 사건에 대한 조기경보는 CertiK 공식 트위터[https://twitter.com/CertiKCommunity]를 통해 최초 방송됐다.

또한 CertiK 공식 홈페이지 https://www.certik.com/에는 커뮤니티 경고 기능이 추가되었습니다. 공식 홈페이지에서는 취약점, 해커 공격, Rug Pull과 관련된 다양한 커뮤니티 경고 정보를 상시 확인할 수 있습니다.

최근 공격 발생률이 높기 때문에 암호화 프로젝트 당사자와 사용자는 더 경계하고 적시에 계약 코드를 개선하고 감사해야 합니다. 또한 기술팀은 발생한 보안 사고에 적시에 주의를 기울여야 하며, 자신의 프로젝트에 유사한 문제가 있는지 확인해야 합니다.

안전
Odaily 공식 커뮤니티에 가입하세요
구독 그룹
https://t.me/Odaily_News
채팅 그룹
https://t.me/Odaily_CryptoPunk
공식 계정
https://twitter.com/OdailyChina
채팅 그룹
https://t.me/Odaily_CryptoPunk
추천 기사
스테이블의 모금 혼란: 내가 FOMO 열차를 놓친 이유
비트코인, DEX, 그리고 은행: 이번 폭락은 본격 이벤트의 서곡일 뿐인가?
XT.COM COO 인터뷰: CEX는 심각한 내부 경쟁에 직면해 있습니다. 돌파구를 찾는 방법은 무엇일까요?
AI 요약
맨 위로
베이징 시간으로 2월 22일, CertiK 보안 전문가 팀은 Flurry Finance의 Vault 계약이 공격당한 것을 감지했습니다.
작성자 라이브러리
CertiK
CertiK: 2025 Skynet RWA 보안 보고서
기사 인기 순위
일간 순위
주간 순위
2025년 11월 시장 전망: FOMC부터 x402 합의까지, 글로벌 주요 이슈 종합 분석
2025년 11월 시장 전망: FOMC부터 x402 합의까지, 글로벌 주요 이슈 종합 분석
ZEC 매수는 BTC를 매도하기 위한 계략이었을까? 프라이버시 코인 급등 뒤에 숨은 업계의 4가지 진실.
마치 형제의 "잔액 소진" 이야기: 그의 계좌는 최고 6,000만 달러에 달했지만 47일 만에 사라졌습니다.
거대 기업들이 매수를 중단하고 ETF는 냉각되고 있다. 비트코인이 최근 하락한 진짜 이유는 무엇일까?
잠재적으로 80억 달러에 달하는 DeFi 재앙 중 이미 발생한 것은 1억 달러에 불과합니다.
Odaily 플래닛 데일리 앱 다운로드
일부 사람들이 먼저 Web3.0을 이해하게 하자
IOS
Android