2023년 7월 1일, 공격자는 Poly Network 취약점을 악용하여 여러 체인에 걸쳐 420억 달러 상당의 자산을 발행했습니다. 엄청난 양의 자산이 발행되었음에도 불구하고 낮은 유동성과 일부 프로젝트 토큰의 동결로 인해 공격자는 5개의 외부 계정 주소에서 천만 달러 이상의 자산을 확보하지 못했습니다.
첫 번째 수준 제목
이벤트 요약
이미지 설명
이미지: Poly Network 공격자 지갑 주소. 출처: 디뱅크
그러나 그 숫자는 실제로 오해의 소지가 있습니다. 예를 들어, 공격자는 Metis 블록체인에 340억 달러가 넘는 폴리 고정 BNB 및 BUSD를 보유하고 있었지만 유동성 부족으로 인해 이러한 토큰을 판매할 수 없었습니다. 나중에 Metis는 또한 새로 발행된 BNB와 BUSD에는 유동성이 없으므로 가치가 없다는 트윗을 통해 확인했습니다.
이미지 설명
레보몬 트위터
첫 번째 수준 제목
크로스체인 브릿지 취약점
첫 번째 수준 제목
공격 과정
Poly Network는 잠금 및 잠금 해제 기능을 사용하여 서로 다른 네트워크 간에 자산을 연결합니다. 사용자는 대상 체인에서 토큰을 잠금 해제하기 전에 소스 체인에서 토큰을 잠금해야 합니다.
보조 제목
이미지 설명
이미지: 공격자는 소량의 8 PAY 토큰으로 체인 간 전송을 시작합니다. 출처: 이더스캔
보조 제목
텍스트
해당 UnlockEvent 잠금 해제 함수가 실행됩니다. 앞부분의 4바이트를 보면 현재 트랜잭션 데이터가 변경되었음을 나타내는 데이터 길이를 알 수 있습니다.
“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000”
보조 제목
③ 공격자는 위와 같은 과정을 반복하였습니다.
이미지 설명
자산 추적
자산 추적
이더리움 네트워크에서 공격자는 일부 토큰을 ETH로 변환하는 데 성공했습니다. 프로세스는 다음과 같습니다.
공격 중에 공격자는 한 번의 거래로 1,592 ETH(약 305만 달러)를 전송했고, 2,240 ETH를 3개의 EOA 외부 계정으로 전송했습니다. 또한 공격자는 약 301만 USDC와 265만 USDT를 획득했는데, 이는 각각 1557과 1371 ETH로 환산됐다.
이미지 설명
마지막에 쓰세요
마지막에 쓰세요
2022년 Web 3.0 생태계는 크로스체인 브리지 공격의 파괴적인 영향을 경험했으며, Ronin Bridge, Wormhole, Nomad와 같은 프로젝트는 모두 보안 사고의 영향을 받았습니다. 폴리 네트워크 사건의 조기 발견은 웹 생태계 사상 최대 규모의 보안 사고임을 보여주지만, 새로 발행된 토큰에 대한 유동성 지원 부족으로 인해 피해액은 글 작성 당시 약 1천만 달러로 제한되었습니다. 공격자가 Poly Network를 어떻게 악용할 수 있는지에 대한 정확한 합의는 현재 없습니다. 그러나 예비 징후는 체인 기능의 정상적인 작동으로 인해 개인 키 유출이나 오프 체인의 취약성으로 인해 발생할 가능성이 있음을 나타냅니다.