크로스 체인 탈중앙화 금융(DeFi) 프로토콜 Rubic이 손상되어 사용자 주소에 저장된 자금이 유출되어 해커에게 전송되었습니다.
25월 XNUMX일, Rubic 프로토콜은 라우팅 계약 중 하나가 손상되었으며 상황이 완전히 이해될 때까지 모든 계약이 중지될 것이라고 발표했습니다. 발표 내용은 다음과 같습니다.
또한 프로토콜의 작성자는 사용자에게 revoke.cash 도구를 통해 계약 승인을 취소하라고 조언했습니다. 블록체인 사이버 보안 회사 PeckShield의 Twitter 스레드는 Rubic 프로토콜의 취약성으로 인해 스마트 계약을 승인한 지갑에서 직접 1.41만 달러 상당의 자금 손실이 발생했다고 설명합니다.
착취자 주소는 Uniswap USD 코인(USDC) 스테이블 코인과 관련된 거래의 탈중앙화 거래소(DEX). PeckShied는 USDC를 지원되는 라우터에 실수로 추가했기 때문에 해킹이 가능했다고 설명했습니다. 또한 "ruterCallNative의 유효성 검사 부족"도 악의적인 계약 사용을 허용했습니다.
chatGPT를 사용한 빠른 스마트 계약 분석은 ruterCallNative 기능에 "_params" 및 "_data" 매개변수에 대한 무효화된 입력을 포함하여 수많은 잠재적 취약점이 포함되어 있음을 시사합니다. 이를 통해 공격자는 부정확하거나 의도하지 않은 동작을 유발할 수 있는 악의적인 입력을 전달할 수 있습니다.
또한 함수에 전달되는 "_gateway" 매개변수는 제한이 없으므로 잠재적으로 공격자가 계약을 생성하고 RubicProxy 계약에 의해 실행되도록 할 수 있습니다.
실제로 공격자는 배포 공격에 사용된 맞춤형 스마트 계약. 그만큼 디코딩된 바이트코드 공격자가 가능한 한 효율적으로 공격을 수행할 수 있도록 허용하는 337줄의 코드를 보여줍니다.
해커의 주소는 먼저 1,161.55를 받았습니다. 이더리움 (ETH) 전송 및 또 다른 26.88 ETH 전송, 둘 다 Uniswap 프로토콜에서 독점적으로 USDC를 빼돌리고 래핑된 이더리움(WETH)으로 교환합니다. 이 모든 WETH는 나중에 온체인 믹서 및 승인된 엔티티로 전송되었습니다. 토네이도 현금 불법 자금을 익명화합니다.
온체인 분석에 따르면 코인 익명화 서비스로 전송된 1.45만 달러 상당의 들어오는 거래가 해커의 주소에서 비롯된 것으로 나타났습니다. 서비스에 대한 총 들어오는 가치는 약 2.9만 달러입니다. 즉, 오늘 믹서로 보낸 자산의 절반 정도는 익스플로러가 보낸 것입니다.
해커의 자금이 서비스의 들어오는 거래량의 상당 부분을 차지함에도 불구하고 그들의 익명성은 여전히 상당합니다. 예치금은 오늘 처리된 Tornado Cash에서 인출한 2만 달러 중 하나이거나 스마트 계약에 아직 예치된 174억 XNUMX만 달러 상당의 자산 중 하나일 수 있습니다.
토네이도 캐시는 사용자가 이더리움 블록체인에서 익명의 전송을 수행할 수 있도록 허용하는 불법 DeFi 프로토콜입니다. 이 프로토콜은 영지식 증명(ZK 증명)을 사용하여 트랜잭션의 입력 및 출력 주소를 숨깁니다. 제XNUMX자가 거래 당사자의 신원이나 양도의 구체적인 목적을 파악하기 어렵습니다.
Tornado Cash는 이더리움 블록체인 위에 구축된 오픈 소스 프로젝트이며 이더리움 지갑이 있는 모든 사람이 액세스할 수 있습니다. 사용자는 이더리움 지갑 또는 분산형 호스팅 서비스 IPFS(InterPlanetary File System)를 통해 계속 사용할 수 있는 웹 인터페이스를 사용하여 Tornado Cash 계약과 상호 작용할 수 있습니다. 그들은 자금을 Tornado Cash 계약으로 보내고 새 주소로 인출함으로써 ERC-20 표준을 준수하는 ETH 또는 토큰의 익명 전송을 수행할 수 있습니다.
뉴스는 최근에 이어집니다. 보고서 북한 해커들이 지난 1.2년 동안 약 2021억 달러의 암호화폐 및 기타 가상 자산을 훔쳤다고 합니다. 이러한 해킹의 대부분은 XNUMX년에만 발생했습니다.
출처: https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/