개요 해당 포스트는 2023년 1월 27일 Dexible에서 일어난 약 1,540,000 달러의 해킹 사건을 분석한 포스트입니다. 컨트랙트 취약점과 해킹 기법, 취약점 수정에 초점을 맞추어 포스트를 작성하였습니다. 취약한 컨트랙트 해킹 대상이 된 컨트랙트는 Dexible로 링크를 통해 확인할 수 있습니다. 취약점을 찾기 위해서는 두 개의 컨트랙트(Dexible.sol, SwapHandler.sol)를 보아야 합니다. //SPDX-License-Identifier: Unlicense pragma solidity ^0.8.17; import "./interfaces/IDexible.sol"; import "./baseContracts/DexibleView.sol"; import "./baseContracts..
2023년 2월 17일 Dexible의 Dexible Proxy기능을 사용하는 Ethereum의 수많은 개인지갑들이 해킹당했습니다. 대략 $1,540,000 가량의 자산이 탈취되었습니다. 이더리움에 지갑을 두고 계신 분들 중 보유 자산들에 대해 이 주소에 대한 allowance를 확인하시기 바랍니다. 만약 allowance가 0보다 큰 경우에는 approve 함수를 통해 allowance를 0으로 만들어주시기 바랍니다. Hacking Analysis : https://blockchain-security.tistory.com/11 Dexible Hacking Analysis 개요 해당 포스트는 2023년 1월 27일 Dexible에서 일어난 약 1,540,000 달러의 해킹 사건을 분석한 포스트입니다. 컨..
개요 해당 포스트는 2023년 2월 27일 LZ finance에서 일어난 약 1,000,000 달러의 해킹 사건을 분석한 포스트입니다. 컨트랙트 취약점과 해킹 기법, 취약점 수정에 초점을 맞추어 포스트를 작성하였습니다. 취약한 컨트랙트 취약한 컨트랙트의 주소는 0x6D8981847Eb3cc2234179d0F0e72F6b6b2421a01입니다. 이 컨트랙트는 LZ finance에서 배포한 SwapXProxy의 implementation 컨트랙트입니다. 취약한 컨트랙트는 마치 Uniswap Router와 같은 역할을 수행하고 있으며, LZ finance에서 해당 코드를 공개하지 않아, 바이트코드를 디컴파일해 분석할 수도 있으나, 이번 포스트에서는 Transaction 분석을 통해 해당 컨트랙트의 기능과 취약..
2023년 2월 27일 LZ finance의 SwapX 기능을 사용하는 Binance의 수많은 개인지갑들이 해킹당했습니다. 포스트 작성 시점인 3월 4일 현재도 같은 원리를 이용하여 해킹 시도를 계속하고 있으며, 적어도 $1,000,000 가량의 자산이 탈취되었습니다. 바이낸스에 지갑을 두고 계신 분들 중 Binance: BUSD StableCoin에서 이 주소에 대한 allowance를 확인하시기 바랍니다. 만약 allowance가 0보다 큰 경우에는 approve 함수를 통해 allowance를 0으로 만들어주시기 바랍니다. Hacking Analysis : https://blockchain-security.tistory.com/9 LaunchZone(LZ finance) Hacking Analysi..
2023년 2월 23일 UTC 08:40분 경 HakunaMatata의 Pancake Pair가 해킹되었습니다. DYNA의 PancakePair에서 33 BNB($10,000) 만큼이 해킹되었으며, 기타 다른 smart contract로의 영향은 없습니다. 해커는 동일한 수법으로 최근까지 10건 이상의 상품에서 다량의 자산을 탈취하였습니다. Hacking Analysis : https://blockchain-security.tistory.com/6 Hakuna Matata($TATA) Hacking Analysis 개요 해당 포스트는 2023년 2월 23일 Hakuna Matata에서 일어난 약 10,000 달러의 해킹 사건을 분석한 포스트입니다. 컨트랙트 취약점과 해킹 기법, 취약점 수정에 초점을 맞추..
개요 해당 포스트는 2023년 2월 23일 Hakuna Matata에서 일어난 약 10,000 달러의 해킹 사건을 분석한 포스트입니다. 컨트랙트 취약점과 해킹 기법, 취약점 수정에 초점을 맞추어 포스트를 작성하였습니다. 취약한 컨트랙트 해킹 대상이 된 컨트랙트는 HakunaMatata(CoinToken)로 링크를 통해 확인할 수 있습니다. 위 컨트랙트의 totalSupply가 매우 작을 때(10 이하), PancakeSwap 컨트랙트와의 관계에서 취약점이 발생합니다. 아래는 HakunaMatata 컨트랙트의 소스코드입니다. /** *Submitted for verification at BscScan.com on 2021-04-16 */ // SPDX-License-Identifier: MIT pragma..
개요 해당 포스트는 2023년 2월 22일 Dynamic Finance에서 일어난 약 23,000 달러의 해킹 사건을 분석한 포스트입니다. 컨트랙트 취약점과 해킹 기법, 취약점 수정에 초점을 맞추어 포스트를 작성하였습니다. 취약한 컨트랙트 해킹 대상이 된 컨트랙트는 StakingDYNA로 링크를 통해 확인할 수 있습니다. 아래는 해당 컨트랙트의 소스코드입니다. // SPDX-License-Identifier: MIT pragma solidity ^0.8.13; import "@openzeppelin/contracts/token/ERC20/IERC20.sol"; import "@openzeppelin/contracts/utils/math/SafeMath.sol"; import "@openzeppelin/c..
2023년 2월 22일 UTC 05:40분 경 DYNA의 staking contract가 해킹되었습니다. DYNA의 liquidity pool에서 73.8 BNB($23,000)만큼이 해킹되었으며, 기타 다른 smart contract로의 영향은 없습니다. DYNA Finacne Hacking 분석 : https://blockchain-security.tistory.com/4 Dynamic Finance($DYNA) Hacking Analysis 개요 해당 포스트는 2023년 2월 22일 Dynamic Finance에서 일어난 약 23,000 달러의 해킹 사건을 분석한 포스트입니다. 컨트랙트 취약점과 해킹 기법, 취약점 수정에 초점을 맞추어 포스트를 작성하였습 blockchain-security.tist..
