TokenPocket 플래시 교환 서비스 제공업체를 도난당했습니다. 얼마나 많은 "무제한 인증"을 열었는지 빠르게 확인하십시오.
오늘 크로스체인 DEX 애그리게이터 Transit Swap이 공격을 받아 많은 사용자의 자금이 지갑에서 인출되었습니다. 현재 추정 손실액은 2300만 달러를 넘어섰다.
도난 사실을 발견한 후 Transit Swap 기술팀은 급히 서비스를 중단하고 계약을 완전히 중단했으며 어떠한 작업도 수행할 수 없습니다. 보도자료 이전에 Transit Swap은 이전 해킹 사건의 원인이 코드 오류라고 공식 발표했으며 해커의 IP, 이메일 주소 및 관련 온체인 주소를 확인했습니다. Transit Swap 팀은 해커를 추적하고 그들과 소통하여 사용자가 손실을 복구할 수 있도록 최선을 다할 것이라고 말했습니다.
SlowMist 분석에 따르면 이번 공격의 주된 원인은 Transit Swap 프로토콜이 토큰 교환 시 사용자가 전달한 데이터를 엄격하게 확인하지 않아 임의의 외부 호출 문제가 발생했기 때문입니다. 특히 라우팅 계약 자체는 transferFrom 매개 변수에 제한을 두지 않으며 구문 분석된 교환 계약 주소 및 호출 데이터를 확인하지 않습니다. 공격자는 라우팅 프록시 컨트랙트, 라우팅 브리지 컨트랙트, 권한 관리 컨트랙트에서 들어오는 데이터를 확인하지 않는 단점을 이용하여 라우팅 에이전트 컨트랙트를 통해 라우팅 브리지 컨트랙트의 callBytes 함수를 호출하여 구성된 데이터를 전송함으로써 모든 권한 도용 권한 부여를 위해 계약을 관리하는 사용자를 위한 토큰.
현재 해커는 2,500 BNB를 Tornado Cash로 전송했으며 나머지 자금은 해커의 주소에 흩어져 있습니다. 해커들의 흔적을 분석한 결과 해커들이 라토큰 등 플랫폼에서 입출금한 흔적이 있는 것으로 나타났다.
또한 보안팀 PeckShield는 해커 자금의 흐름을 확인했습니다.
보조 제목
플래시 교환이란 무엇입니까?
현재 거의 모든 지갑에 DeFi 기능이 내장되어 있으며 일부 지갑은 사용 편의성을 위해 "플래시 교환"이라는 개념을 만들어 적용했습니다.
소위 플래시 교환은 지갑과 깊이 통합되어 더 분명한 독립 입구, 더 간단한 조작 프로세스 및 더 편리한 제품 조작이 가능합니다. 퀵익스체인지를 이용하는 사용자는 편리하고 빠르게 암호화된 자산 거래를 완료할 수 있습니다. 예를 들어 "승인" 작업은 일반적으로 간단한 원클릭 작업으로 트랜잭션 프로세스에 통합되며 사용자는 거의 둔감합니다.
보조 제목
계약 승인에는 얼마나 많은 위험이 숨겨져 있습니까?
"아무도 당신의 암호화된 자산을 강제로 빼앗을 수 없다"는 것은 블록체인의 특성에 대한 투자자들의 폭넓은 공감대입니다. 체인의 자산이 지갑에 소유되면 강제로 전송할 수단이 없습니다. 그러나 온체인 거래에 DEX를 사용할 때 DEX는 어떻게 하나의 자산을 가져와 다른 자산으로 이전합니까?
라이선스는 이 모든 것의 핵심입니다. 사용자는 DEX에서 자산을 판매하기 전에 "승인" 작업을 수행해야 하며, 이 작업 후 계약은 사용자의 특정 토큰을 사용할 수 있는 권한을 갖습니다.
보조 제목
감사 = 보안?
계약에 승인 후 암호화된 자산을 전송할 수 있는 기능이 있더라도 합리적인 범위 내에서만 이 기능을 사용하는 것이 여전히 안전합니다. 그리고 신뢰할 수 있는 보안 기관의 감사를 받았다면 이 능력이 남용되지 않고 사용자가 거래를 할 때 거래 금액에 필요한 자산만 이체된다는 의미일까요?
정적 관점에서 이 논리는 유효합니다. Uniswap과 마찬가지로 언제든지 사용자의 지갑을 비울 수 있는 기능이 있지만 실제로는 그렇게 하지 않습니다. 그러나 역동적인 관점에서 볼 때 이 논리는 여전히 위험합니다.
최신 소프트웨어 개발에서 업그레이드는 필수 불가결한 기능입니다. 스마트 계약도 마찬가지입니다. Solidity 스마트 계약에는 투명과 UUPS의 두 가지 업그레이드 방법이 있으며, 이 두 가지 기능을 통해 계약 대행 및 업그레이드는 업계에서 거의 표준 계약 구성입니다.
프로젝트 당사자는 계약을 어떻게 업그레이드합니까? 보통 사용자가 접근하는 컨트랙트는 비즈니스 로직을 직접 실행하는 핵심 컨트랙트가 아니라 "프록시 컨트랙트"로, 사용자 요청을 받은 후 프록시 컨트랙트가 이를 코어 비즈니스 컨트랙트로 전달한 후 비즈니스 컨트랙트가 처리된다. 그것. 계약 업그레이드는 최종 전달되는 비즈니스 계약을 대체하는 것입니다. 쉽게 말해 스마트 계약은 수정할 수 없지만 사용자가 최종적으로 접근하여 비즈니스 로직을 실행하는 계약은 대체할 수 있습니다. 이는 업계의 일반적인 관행이기도 합니다.
그리고 가장 안전한 계약이라도 "계약 업그레이드"가 수행되는 한 비즈니스 계약이 변경되고 이전 감사 보고서는 폐지가되었습니다.
보조 제목
무제한 라이선스는 얼마나 위험한가요?
다행히 권한 부여는 사용자가 언제든지 지갑이 비워질 위험에 노출되는 것을 의미하지 않습니다. 권한 부여 메커니즘의 또 다른 중요한 규칙은 권한 부여에 수량이 포함된다는 것입니다. 사용자 "승인"은 일정 수의 토큰을 계약하고 계약은 최대 이 금액만 사용할 수 있으며 지갑에 더 많은 토큰이 있더라도 계약을 더 이상 사용할 수 없습니다.
그러나 위험은 대부분의 DeFi 계약이 부도덕하게 사용자에게 "무제한 승인"을 요구한다는 것입니다. 즉, 기본적으로 사용자가 승인하는 토큰의 수는 무제한입니다.
보조 제목
사용자는 어떻게 이를 방지할 수 있습니까?
권한이 없으면 보안 위험이 없습니다. 체인에서 작업을 수행할 때 Approve 작업이 필요한 경우 사용자는 "얼마나 사용하고 얼마나 부여하는지"의 원칙을 따라야 합니다. 1000 TOKEN만 판매해야 하는 경우 승인 금액을 1000으로 수동으로 수정해야 합니다. 계약 이체 금액을 계산할 때 누적됩니다. 즉, 1000만 승인되고 이 거래 금액이 정확히 1000이면 계약 승인 금액이 방금 소진된 것입니다. 향후 계약에 보안 위험이 있더라도 더 이상 사용자의 지갑에서 자산을 전송할 수 없습니다.
(사용자가 수동으로 승인된 금액을 수정할 수 있음)
인증된 사용자의 경우 인증 해제 작업도 시작할 수 있습니다. (흥미로운 세부 사항은 이더리움이 기본적으로 "0" 금액으로 계약을 승인하는 "인증 해제"를 지원하지 않는다는 것입니다.)
일반적으로 사용되는 인증 해제 사이트는 다음과 같습니다(보안업체 SlowMist에서 권장).
1. Dappstar:https://tac.dappstar.io/#/
2. Revoke:https://revoke.cash/
3. Approved.zone:https://approved.zone/
4. Rabby Wallet
보조 제목
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
DeFi 도난에 대한 책임은 누구에게 있습니까?
"Dark Forest"는 체인의 주문에 대한 널리 유포된 설명이며 사용자에게 이 세상의 위험과 높은 위험을 상기시킵니다. 그러나 이러한 보안사고가 반복적으로 발생한다면 과연 사용자의 보안의식 탓일까?
이러한 사건에서 DeFi 프로젝트의 사용자 승인에 대한 제한 없는 요청은 숨겨진 위험의 원래 소스입니다.거의 모든 프로젝트에서 승인을 요청할 때 기본 옵션은 무제한 승인입니다. 사용자가 수동으로 수정할 수 있지만 책임 있는 시장은 투자자 보호 및 사용자 교육에 대한 책임을 져야 합니다.
얼마나 많은 암호 사용자가 여전히 인증의 위험을 인식하지 못합니까? 이러한 맥락에서 프로젝트 당사자는 여전히 매우 위험한 무제한 승인을 요구하고 있습니다.
DeFi에서 인증 남용은 업계에서 오랫동안 일반적인 관행이었으며 이러한 고위험 상황은 거의 모든 사용자의 막대한 자산을 위험에 빠뜨리고 그 영향은 광범위하고 광범위하며 숨겨진 위험이 큽니다. 아직 비교할 수 있는 보안 위험이 아닙니다. 이 위험은 "아무도 지갑에 있는 코인을 가져갈 수 없다"는 단순한 직관을 근본적으로 위반합니다. 이것은 또한 업계가 항상 직면해야 하는 위험과 도전입니다.
도난 사건이 발생한 후 Shenyu는 트위터에서 "인증 기능 사용을 표준화하고 원하는 만큼 인증을 사용하고 무제한 인증을 사용하지 말 것을 프로젝트 당사자에게 호소합니다. 모두 안심할 수 있습니다."라고 호소했습니다.
탈중앙화는 기회와 위험으로 가득 차 있습니다. 암호 화폐의 원래 비전을 기억하십니까? "당신의 자산을 보호하세요. 아무도 당신의 지갑에 있는 암호화폐를 빼앗을 수 없습니다." 선의의 질서 확립은 모든 일반 사용자가 암호화 기술을 안전하게 사용할 수 있도록 하기 위해 복잡한 코드와 모호한 개념을 요구하지 않습니다. 여전히 공동의 노력이 필요합니다. 업계의 모든 참여자.
