위험 경고: '가상화폐', '블록체인'이라는 이름으로 불법 자금 모집 위험에 주의하세요. — 은행보험감독관리위원회 등 5개 부처
정보
발견
검색
로그인
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
시장 동향 보기
Flurry Finance에 대한 공격 검토
CertiK
特邀专栏作者
2022-02-23 13:00
이 기사는 약 1937자로, 전체를 읽는 데 약 3분이 소요됩니다
CertiK 보안 팀은 계약 주소 및 공격 작업 측면에서 자세한 해석 및 분석을 제공합니다.

베이징 시간 2022년 2월 22일 오후 1시 46분, CertiK 보안 전문가 팀은 Flurry Finance와 관련된 일련의 수상한 활동을 감지했으며, Flurry Finance의 Vault 계약이 공격을 받아 약 $293,000 상당의 자산이 도난당했습니다.

공격 단계

공격 단계

공격자:

공격자:

https://bscscan.com/address/0x0f3c0c6277ba049b6c3f4f3e71d677b923298b35

악성 토큰 계약:

https://bscscan.com/address/0xb7a740d67c78bbb81741ea588db99fbb1c22dfb7

PancakeSwap 거래 쌍:

https://bscscan.com/address/0xca9596e8936aa8e902ad7ac4bb1d76fbc95e88bb

공격자는 Rabbit's Bank 계약에서 플래시 대출을 만들고 StrategyLiquidate의 실행 메서드를 트리거합니다.

execute 메서드는 입력 데이터를 LP 토큰 주소로 디코딩하고 악의적인 토큰 계약의 주소를 추가로 얻습니다.

공격자는 악의적인 토큰 계약의 공격 코드를 사용하여 예비 공격을 시작합니다.

https://bscscan.com/address/0xbeeb9d4ca070d34c014230bafdfb2ad44a110142

전략 청산일 계약:

https://bscscan.com/address/0x5085c49828b0b8e69bae99d96a8e0fcf0a033369

악의적인 토큰 계약은 FlurryRebaseUpkeep 계약의 performUpkeep 메서드를 호출하고 Vault 계약의 관련 금액을 다시 계산하고 관련 Rho 토큰의 승수를 업데이트합니다.

여기서 승수는 Rho 토큰의 잔액 계산에 사용됩니다. Vault 계약의 관련 금액을 다시 계산하고 관련 Rho 토큰의 승수를 업데이트합니다. 여기서 승수는 Rho 토큰의 잔액 계산에 사용됩니다. 이 업데이트는 Vault 계약과 관련된 수익 전략 계약의 잔액을 기반으로 합니다.

업데이트는 플래시론 프로세스 중에 트리거됩니다.이 시점에서 플래시론은 아직 종료되지 않았고 대출 금액은 아직 반환되지 않았으므로 은행 계약의 현재 잔액은 정상 가치보다 훨씬 적습니다. 이 은행 계약은 또한 특정 전략의 일부로, 특정 전략의 잔액을 정상 값보다 작게 만들고 승수를 정상 값보다 작게 만듭니다.

FlurryRebaseUpkeep 계약:

https://bscscan.com/address/0x10f2c0d32803c03fc5d792ad3c19e17cd72ad68b

Vault의 계약 중 하나:

https://bscscan.com/address/0xec7fa7a14887c9cac12f9a16256c50c15dada5c4

공격자는 플래시론 금액을 반환하고 초기 공격을 완료했으며 추가 공격에서 이익을 얻을 준비가 되었습니다.

다음 트랜잭션에서 공격자는 이전 트랜잭션에서 얻은 낮은 승수로 토큰을 예치하고 승수를 더 높은(정상) 값으로 업데이트하고 높은 승수로 토큰을 인출합니다. 예를 들어 초기 공격 트랜잭션 중 하나에서 승수가 4.1598e35로 업데이트되었습니다.

추가 공격 트랜잭션에서 배수가 4.2530e35로 업데이트되었습니다.

공격 예시:

https://bscscan.com/tx/0x923ea05dbe63217e5d680b90a4e72d5552ade9e4c3889694888a2c0c1174d830

https://bscscan.com/tx/0x646890dd8569f6a5728e637e0a5704b9ce8b5251e0c486df3c8d52005bec52df

승수는 Rho 토큰 잔액을 결정하는 요소 중 하나이기 때문입니다.

공격자의 Rho 토큰 잔액은 트랜잭션에서 증가하여 금고에서 더 많은 토큰을 인출할 수 있었습니다.

마지막에 쓰기

마지막에 쓰기

이 사고는 주로 외부 종속성에 의해 발생했습니다.

따라서 CertiK의 보안 전문가는 프로젝트가 외부 계약과 상호 작용하기 전에 보안을 명확하게 이해하고 외부 종속성이 자체 계약에 미칠 수 있는 영향을 제한해야 한다고 제안합니다.

이 사건에 대한 조기 경고가 발령되었습니다.서틱 공식 트위터게다가,

게다가,써틱 공식 홈페이지커뮤니티 알림 기능이 추가되었습니다. 공식 홈페이지에서는 취약점, 해커 공격, Rug Pull과 관련된 다양한 커뮤니티 경고 정보를 상시 확인할 수 있습니다.

DeFi
안전
Odaily 공식 커뮤니티에 가입하세요
구독 그룹
https://t.me/Odaily_News
채팅 그룹
https://t.me/Odaily_CryptoPunk
공식 계정
https://twitter.com/OdailyChina
채팅 그룹
https://t.me/Odaily_CryptoPunk
추천 기사
왕좌의 게임: 트럼프부터 CZ까지, 억만장자들은 왜 "예측 시장"에 베팅하는가?
주간 편집자 추천 (10월 25일~31일)
하드코어 분해: X402는 인터넷의 "결제 격차"를 해소하고자 했지만, 다시 한번 똑같은 함정에 빠졌습니다.
AI 요약
맨 위로
CertiK 보안 팀은 계약 주소 및 공격 작업 측면에서 자세한 해석 및 분석을 제공합니다.
작성자 라이브러리
CertiK
CertiK: 2025 Skynet RWA 보안 보고서
기사 인기 순위
일간 순위
주간 순위
이런 상황이 계속된다면 더 이상 암호화폐를 거래하는 사람은 없을 것입니다.
이런 상황이 계속된다면 더 이상 암호화폐를 거래하는 사람은 없을 것입니다.
x402가 인기를 얻고 있습니다. 급등하는 "컨셉 코인"은 정말 의미가 있을까요?
상하이를 떠나 도피한 바이낸스 CEO 자오창펑은 어떻게 트럼프 대통령의 사면을 받았을까? 암호화폐 베테랑의 10년 회고록과 업계의 미스터리.
다음 주에 주목할 만한 소식: 연방준비제도이사회가 다음 금리 결정을 발표합니다. Strategy가 3분기 실적 보고서를 발표합니다(10월 27일~11월 2일).
AI 암호화폐 거래 경연대회 최신 결과: DeepSeek이 1위로 복귀
Odaily 플래닛 데일리 앱 다운로드
일부 사람들이 먼저 Web3.0을 이해하게 하자
IOS
Android