-
공격자는 Radiant Capital 스마트 계약의 취약점을 악용했습니다.
-
영향을 받은 네트워크는 BNB 스마트 체인과 이더리움 L2인 Arbitrum이었습니다.
탈중앙화 금융(DeFi) 앱인 Radiant Capital이 10월 16일 공격을 받았습니다. 해커그는 이더리움의 가장 큰 두 번째 계층(L2) 네트워크인 BNB 스마트 체인(BSC)과 Arbitrum(ARB) 네트워크에서 5천만 달러 이상을 추출했습니다.
이 사실을 알고 나서 바이낸스 X 계정에서 지갑 웹3, 그 교환 해커가 악용한 취약점으로 인한 추가 결과를 피하기 위해 사용자가 지갑에서 “가능한 한 빨리” 취소해야 하는 이더리움(ETH), Arbitrum, BSC 및 기본 계약을 자세히 설명했습니다.
플랫폼에서 디파이사용자는 지갑에서 스마트 계약에 대한 권한을 부여하여 이동하는 경우가 많습니다. 토큰 그들을 대신하여 그들과 함께 행동을 실행합니다. 이는 “승인하다” (승인), 이는 다음의 할당을 설정합니다. 토큰 계약이 처리할 수 있는 것입니다. Binance의 요청에 따라 이러한 승인을 취소한다는 것은 해당 권한을 철회하는 것을 의미합니다. 약정된 계약은 더 이상 토큰 사용자의.
이 절차를 실행하고 계약을 취소하려면 지갑 웹3 바이낸스 사용자는 BscScan 토큰 승인 검사기로 이동하여 지갑을 연결해야 합니다. 웹3. 이를 통해 귀하는 귀하의 지출 권한이 있는 모든 스마트 계약 목록을 볼 수 있습니다. 토큰.
사용자는 이러한 승인을 주의 깊게 검토하고 취소하려는 승인을 선택해야 합니다. “를 클릭하면취소“, 서명 요청이 열립니다. 지갑. 마지막으로 거래를 확인해야 합니다. 지갑 해지 절차를 완료합니다. 다른 네트워크의 나머지 계약 비승인도 비슷한 방식으로 수행됩니다.
이 절차는 손상된 계약이 더 이상 승인 없이 사용자 토큰을 이동할 수 없도록 보장하여 잠재적인 취약성으로부터 지갑을 보호합니다.
Radiant Capital DeFi 플랫폼에 대한 공격은 어떻게 발생했나요?
로스 해커 “백도어”(영문)가 포함된 스마트 계약을 만들고 구현했습니다. 백도어 계약) 인프라의 디파이. 이러한 유형의 계약에는 다음이 포함됩니다. 공격자가 취약점을 악용할 수 있도록 허용하는 숨겨진 액세스 기능에서 “전송에서” 스마트 계약에 대해 설명합니다.
기능 전송에서 스마트 계약을 통해 전송할 수 있습니다. 토큰 사용자의 계정에서 다른 계정으로의 전송. 단, 사용자가 이전에 이 전송을 승인한 경우에만 가능합니다. 이 승인은 다음의 사전 할당을 통해 수행됩니다. 토큰.
의 경우 마구 자르기Radiant Capital이 겪은 것과 마찬가지로 공격자는 구현의 취약점을 악용할 수 있습니다. 전송에서 에게 발동력 토큰 적절한 승인 없이.
기능은 있지만 전송에서 이더리움(ETH)의 ERC-20 표준의 기본 기술인 BNB 스마트 체인(BSC)과 Arbitrum은 이 기술과 긴밀한 관계를 맺고 있습니다.
따라서 이 방식을 통해 그들은 다음과 같은 결과를 얻을 수 있었습니다. 승인 없이 자금 인출보안 회사인 Ancilla가 보고한 바에 따르면 웹3.
그 부분에서는 통합된 dApp에서 지갑 바이낸스의 Web3는 오늘 10월 17일 사용자에게 천만 달러를 환불한다고 발표했습니다.
또한 Radiant Capital은 기본 네트워크, 이더리움의 또 다른 L2 및 메인 네트워크(BSM 및 Arbitrum 포함)에서 시장을 폐쇄했습니다. 플랫폼에서는 사건의 진상 규명과 보안 복원을 위해 SEAL911, Hypernative, ZeroShadow, Chainalytic 등의 보안업체와 협력하고 있다고 밝혔습니다.
>