폴리네트워크 1,000만 달러 손실 공격 사건 분석

avatar
CertiK
1년 전
이 글은 약 930자,전문을 읽는 데 약 2분이 걸린다
2023년 7월 1일, 공격자는 Poly Network의 취약점을 악용하여 여러 체인에서 420억 달러 상당의 자산을 발행했습니다. 엄청난 양의 자산이 발행되었음에도 불구하고 낮은 유동성과 일부 프로젝트 토큰의 동결로 인해 공격자는 5개의 외부 계정 주소에서 1천만 달러 이상의 자산을 확보하지 못했습니다.

2023년 7월 1일, 공격자는 Poly Network 취약점을 악용하여 여러 체인에 걸쳐 420억 달러 상당의 자산을 발행했습니다. 엄청난 양의 자산이 발행되었음에도 불구하고 낮은 유동성과 일부 프로젝트 토큰의 동결로 인해 공격자는 5개의 외부 계정 주소에서 천만 달러 이상의 자산을 확보하지 못했습니다.

첫 번째 수준 제목

이벤트 요약

이미지 설명

폴리네트워크 1,000만 달러 손실 공격 사건 분석

이미지: Poly Network 공격자 지갑 주소. 출처: 디뱅크

그러나 그 숫자는 실제로 오해의 소지가 있습니다. 예를 들어, 공격자는 Metis 블록체인에 340억 달러가 넘는 폴리 고정 BNB 및 BUSD를 보유하고 있었지만 유동성 부족으로 인해 이러한 토큰을 판매할 수 없었습니다. 나중에 Metis는 또한 새로 발행된 BNB와 BUSD에는 유동성이 없으므로 가치가 없다는 트윗을 통해 확인했습니다.

이미지 설명

폴리네트워크 1,000만 달러 손실 공격 사건 분석

레보몬 트위터

첫 번째 수준 제목

크로스체인 브릿지 취약점

첫 번째 수준 제목

공격 과정

Poly Network는 잠금 및 잠금 해제 기능을 사용하여 서로 다른 네트워크 간에 자산을 연결합니다. 사용자는 대상 체인에서 토큰을 잠금 해제하기 전에 소스 체인에서 토큰을 잠금해야 합니다.

보조 제목

이미지 설명

폴리네트워크 1,000만 달러 손실 공격 사건 분석

이미지: 공격자는 소량의 8 PAY 토큰으로 체인 간 전송을 시작합니다. 출처: 이더스캔

보조 제목

텍스트

해당 UnlockEvent 잠금 해제 함수가 실행됩니다. 앞부분의 4바이트를 보면 현재 트랜잭션 데이터가 변경되었음을 나타내는 데이터 길이를 알 수 있습니다.

“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000”

폴리네트워크 1,000만 달러 손실 공격 사건 분석

보조 제목

③ 공격자는 위와 같은 과정을 반복하였습니다.

이미지 설명

폴리네트워크 1,000만 달러 손실 공격 사건 분석

자산 추적

자산 추적

이더리움 네트워크에서 공격자는 일부 토큰을 ETH로 변환하는 데 성공했습니다. 프로세스는 다음과 같습니다.

폴리네트워크 1,000만 달러 손실 공격 사건 분석

공격 중에 공격자는 한 번의 거래로 1,592 ETH(약 305만 달러)를 전송했고, 2,240 ETH를 3개의 EOA 외부 계정으로 전송했습니다. 또한 공격자는 약 301만 USDC와 265만 USDT를 획득했는데, 이는 각각 1557과 1371 ETH로 환산됐다.

폴리네트워크 1,000만 달러 손실 공격 사건 분석

이미지 설명폴리네트워크 1,000만 달러 손실 공격 사건 분석

마지막에 쓰세요

마지막에 쓰세요

2022년 Web 3.0 생태계는 크로스체인 브리지 공격의 파괴적인 영향을 경험했으며, Ronin Bridge, Wormhole, Nomad와 같은 프로젝트는 모두 보안 사고의 영향을 받았습니다. 폴리 네트워크 사건의 조기 발견은 웹 생태계 사상 최대 규모의 보안 사고임을 보여주지만, 새로 발행된 토큰에 대한 유동성 지원 부족으로 인해 피해액은 글 작성 당시 약 1천만 달러로 제한되었습니다. 공격자가 Poly Network를 어떻게 악용할 수 있는지에 대한 정확한 합의는 현재 없습니다. 그러나 예비 징후는 체인 기능의 정상적인 작동으로 인해 개인 키 유출이나 오프 체인의 취약성으로 인해 발생할 가능성이 있음을 나타냅니다.

창작 글, 작자:CertiK。전재 / 콘텐츠 제휴 / 기사 요청 연락처 report@odaily.email;违규정 전재 법률은 반드시 추궁해야 한다.

ODAILY는 많은 독자들이 정확한 화폐 관념과 투자 이념을 수립하고 블록체인을 이성적으로 바라보며 위험 의식을 확실하게 제고해 달라고 당부했다.발견된 위법 범죄 단서에 대해서는 관련 부서에 적극적으로 고발하여 반영할 수 있다.

추천 독서
편집자의 선택