플로어링 프로토콜 취약점이 포크 전반에 확산되면서 Asterix가 타격을 입었습니다
지난 6월 8일 발생한 플로어링 프로토콜(Flooring Protocol) 취약점 공격에 이어, 오늘 NFT 유동성 플랫폼의 포크 버전인 아스테릭스(Asterix)가 또다시 공격을 받아 약 4만 달러 상당의 자산이 유출되는 피해를 입었습니다.
이번 취약점 소식은 화이트 해커들이 Asterisk 침입에 사용된 것으로 보이는 Flooringtrac취약점을 이용해 50만 달러 이상의 우량 NFT를 되찾는 데 도움을 줬다고 발표한 후 분위기를 험악하게 만들었습니다.
Flooring Protocol의 취약점이 포크된 코드를 통해 Asterisk로 확산되었습니다
블록체인 보안 회사인 블록섹(BlockSec)의 멤버인 팔콘은 아스테릭스 공격 방식과 6월 8일 공격자들이 플로어링 프로토콜(Floering Protocol) 풀을 고갈시키도록 허용한 취약점 사이의 유사점을 가장 먼저 알아차린 사람 중 한 명입니다.
팔콘은 플로어링 프로토콜 공격이 본질적으로 아스테릭스에 역으로 적용된 것이라고 말했는데, 그 이유는 아스테릭스가 대체 가능 토큰과 대체 불가능 토큰 메커니즘을 혼합한 토큰 표준인 DN404/BT404에서 파생되었기 때문이라고 설명했습니다.
바닥재 사건에 대한 초기 보고서에서는dent 이 90만 달러를 넘는 것으로 추산되었지만, 화이트햇(정직한) 개입을 통해 약 50만 달러를 회수할 수 있었습니다.
아스테릭스는 이미 공식 성명을 통해 이번 침해 사실을 확인했으며 , GMT 8 기준 오전 4시경에 $ASTX 토큰 에 대한 공격이 발생했다고 밝혔습니다trac. 아스테릭스 팀은 현재 조사 중이며 분석이 완료되는 대로 자세한 사후 분석 보고서를 발표할 예정이라고 덧붙였습니다.
바닥재 취약점은 어떻게 발생했나요?
작년에 운영을 중단한 플로어링 프로토콜(Flooring Protocol)은 사용자가 NFT를 풀에 예치하고 해당 자산에 1:1로 연동된 대체 가능 토큰을 받을 수 있도록 했습니다.
이후 확산되기 시작한 플로어링 프로토콜 공격은 유가 랩스의 블록체인 부사장이 X 플랫폼에서.
간단히 말해, 누군가가 악의적인 토큰 ID 하나를 사용하여 소유권 확인을 통과한 후에도 다른 회계 로직에서 해당 ID를 재사용하여 다른 결과를 생성할 수 있으며, 이로 인해 토큰 잔액에matic문제가 발생할 수 있다는 뜻입니다.
이 경우 공격자는 Flooring의 풀에 잠겨 있는 NFT를 청구하는 데 누구나 사용할 수 있는 대체 가능 토큰인 fpTokens를 거의 무한대로 생성했습니다.
유가랩스, 화이트햇 해킹 노력에 나서다
플로어링 드레인 문제가 공개되자마자 유가랩스 CEO 마이클 피게는 또 다른 공격자가 취약한 NFT에 접근하기 전에 신속하게 화이트햇 복구 작업을 시작했다고 밝혔습니다.
NFT 복구 작전을 통해 약 346 ETH(당시 환율로 약 57만 달러) 상당의 NFT 68개를 확보했는데, 여기에는 Bored Ape Yacht Club NFT 29개, Mutant Ape 4개, CryptoPunk 2개, Azuki 1개, Elementals 2개, Captain 26개, Moonbird 1개, Doodle 2개가 포함됩니다.
Asterisk가 공격받은 후 취약점을 발견한 프로젝트인 Super Secret Rare(SSR)는 상황이 해결될 때까지 해당 풀과 상호 작용하지 말라고 사용자들에게 경고했습니다
Flooring의 영향을 받은trac을 개발한 FreeLunchCapital은 유사한trac설계를 사용한 BitmapPunks에도 동일한 취약점이 발생했음을 확인했습니다. 두 프로젝트 모두 잠금된 NFT와 1:1로 연결된 대체 가능 토큰에 의존했기 때문에 동일한 공격 경로에 취약했습니다.
연이은 악용 사례
플로어링(Floering)과 아스테릭스(Asterix)dent에 또 다른 악재를 더했습니다 은 웹3를 휩쓸고 있는 Cryptopolitan 보안 실패의 참담한 연속 . 이전 보도에서 지적했듯이 ,tron증가로 이어져dent, 서틱(Certik)에 따르면 총 60건의 보안 사고가 확인되었고,dent인한 총 손실액은 6,830만 달러에 달했습니다. 펙쉴드(PeckShield)는 6월 1일 기준으로 14건의 브리지 및 크로스체인 공격으로 인한 손실액을 3억 4,070만 달러로 추산했습니다. 4월에 발생한 인 달러 손실은 5월에 개별 사건 발생
포크된 프로토콜은 그 나름의 골칫거리를 안겨줍니다. 하위 프로젝트에서 코드를 검증 없이 복사할 경우, 기본 코드베이스의 단일 취약점이 여러 단계에 걸쳐 복제될 수 있으며, 최근 플로어링, 아스테릭스 사건에서처럼 말입니다.
유가랩스는 플로어링 프로토콜 개발자들이 패치를 완료하는 대로 복구된 NFT를 반환할 것이라고 밝혔습니다. 0xQuit은 취약점이 해결될 때까지 플로어링에 새로운 NFT를 예치하지 말라고 사용자들에게 경고했습니다. 아스테릭스 보유자의 경우 4만 달러 손실 규모는 상대적으로 작지만, 복구 가능성에 대해서는 아직 공개하지 않았습니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.









코멘트 (0)
$ 버튼을 클릭하고, 종목 코드를 입력한 후 주식, ETF 또는 기타 티커를 연결합니다.