블록체인 사이버보안 기업 베리체인스가 지난 8월 6일 발생한 로닌 체인 공격에 대한 상세 내용을 공개하며 약 1천만 달러의 손실을 입혔다고 밝혔습니다.
사이버 보안 회사인 Verichains는 8월 6일에 Ronin 체인 공격에 대한 세부 정보를 공개했으며 이로 인해 약 천만 달러의 손실이 발생했습니다. 이 공격은 나중에 자금을 반환한 화이트 해커가 조종하는 MEV(최대 추출 가능 가치) 봇에 의해 수행되었습니다. 그러나 이 사건은 상당한 우려를 불러일으켰습니다.
사이버 보안 회사인 Verichains는 8월 6일 약 1,000만 달러의 손실을 가져온 Ronin 체인 공격에 대한 세부 정보를 공개했습니다. 이 공격은 나중에 자금을 반환한 화이트 해커가 조종하는 MEV(최대 추출 가능 가치) 봇에 의해 수행되었습니다. 그러나 이 사건은 상당한 우려를 불러일으켰습니다.
Verichains 보고서에 따르면 Ronin 브리지 계약 업데이트로 인해 봇이 악용하는 취약점이 발생했습니다. 이 브리지는 Ethereum을 Axie Infinity와 같은 인기 타이틀을 호스팅하는 게임 네트워크인 Ronin 블록체인에 연결합니다. 계약 업데이트는 누구든지 검증 없이 브리지에서 자금을 인출할 수 있도록 하는 중요한 기능을 간과했습니다.
Verichains 보고서에 따르면 Ronin 브리지 계약 업데이트로 인해 봇이 악용하는 취약점이 발생했습니다. 이 브리지는 Ethereum을 Axie Infinity와 같은 인기 타이틀을 호스팅하는 게임 네트워크인 Ronin 블록체인에 연결합니다. 계약 업데이트에서는 누구든지 검증 없이 브리지에서 자금을 인출할 수 있도록 하는 중요한 기능을 간과했습니다.
모든 거래는 네트워크 참여자에 의해 검증되고 최소VoteWeight 변수를 통해 활성화되는 합의를 통해 처리됩니다. 이 변수는 totalWeight 변수를 입력으로 사용합니다. 그러나 업데이트 중에 totalWeight의 값은 이전 계약의 값이 아닌 0으로 설정되었습니다. 결과적으로 업데이트된 계약이 허용됨에 따라 사용자는 서명 없이 자금을 인출할 수 있습니다.
모든 거래는 네트워크 참가자에 의해 검증되고 최소VoteWeight 변수에 의해 활성화되는 합의를 통해 처리됩니다. 이 변수는 totalWeight 변수를 입력으로 사용합니다. 그러나 업데이트 중에 totalWeight의 값은 이전 계약의 값이 아닌 0으로 설정되었습니다. 결과적으로 사용자는 업데이트된 계약이 허용하는 대로 서명 없이 자금을 인출할 수 있습니다.
8월 7일 X 게시물에서 컴포저블 보안 감사관 Damian Rusniek은 "서명자는 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f이지만 이 주소는 브리지 운영자 목록에 없습니다. 즉, 서명은 하나만 필요하며 모든 유효한 서명이 가능하다는 의미입니다."라고 밝혔습니다. 그들은 Verichains와 동일한 결론을 내렸습니다. "근본 원인은 운영자의 최소 투표 수가 0이었다는 것입니다. 누구에게나 0이 있습니다!"
8월 7일 X 포스트에서 Composable Security 감사인 Damian Rusniek은 다음과 같이 말했습니다. 서명자는 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f이지만 이 주소는 브리지 운영자 목록에 없습니다. 즉, 서명은 하나만 필요하며 유효한 서명이면 가능합니다." Verichains와 동일한 결론으로 결론을 내렸습니다. "근본 원인은 운영자의 최소 투표 수가 0이었다는 것입니다. 누구에게나 0이 있습니다!"
로닌은 이용 자금 중 $500,000를 White Hat 해커에게 제안했습니다
로닌은 이용 자금 중 $500,000를 White Hat 해커에게 제안했습니다
MEV 봇은 시뮬레이션을 통해 이를 발견하고 거래를 실행하여 천만 달러의 악용으로 이어졌습니다. 화이트 해커가 이러한 자금을 반환함으로써 Ronin 개발자는 악의적인 행위자가 공격하기 전에 문제를 발견할 수 있었습니다. 네트워크를 통해 개인은 버그 포상금 보상으로 악용된 가치 중 $500,000를 유지할 수 있었습니다.
MEV 봇은 시뮬레이션을 통해 이를 발견하고 거래를 실행하여 천만 달러의 악용으로 이어졌습니다. 화이트 해커가 이러한 자금을 반환함으로써 Ronin 개발자는 악의적인 행위자가 공격하기 전에 문제를 발견할 수 있었습니다. 네트워크를 통해 개인은 버그 현상금 보상으로 착취된 가치 중 $500,000를 유지할 수 있었습니다.
위 내용은 Verichain의 세부 보고서는 Ronin 체인 공격의 취약점을 밝혀 천만 달러의 손실을 입혔습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!