해커들이 바이낸스 스마트 체인(BSC)을 해킹해 1억 1천만 달러를 탈취했습니다.
해커가 바이낸스의 BNB 스마트 체인(BSC)을 손상시켜 약 1억 1천만 달러를 탈취했습니다. 해커들은 1억 1,000만 달러 상당의 코인을 탈취하여 BSC에서 이체할 수 있었으며, 4억 2,900만 달러는 BNB 지갑에 남아있었습니다.
분석가들은 해커들이 승인 메시지를 위조하고 자신의 계좌에 돈을 입금할 수 있게 해준 브릿지의 검증된 증명의 결함을 성공적으로 악용했다고 지적했습니다.
공격자는 공격을 실행하기 위해 바이낸스 브리지(BSC 토큰 허브)의 보안 취약점을 악용한 후, 내부의 검증 증명 취약점을 악용했습니다. 이를 통해 공격자들은 BSC 체인에서 해당 주소로 200만 BNB를 발행할 수 있었습니다.
이 사건은 공격자들의 접근 지점이 되고 있는 크로스 체인 브리지의 취약점으로 인해 발생했습니다. 공격자는 바이낸스 브리지의 취약점을 악용하여 두 번 연속으로 100만 BNB 토큰을 전송할 수 있었습니다. 스마트 콘트랙트의 결함으로 인해 해커가 거래를 위조하고 지갑으로 돈을 이체할 수 있었습니다.
이뮤네피 트레이닝 팀의 기술 책임자인 아드리안 헤트먼에 따르면, 바이낸스 브리지가 거래 증거를 분석하는 방식에 결함이 있으며, 해커가 계약의 유효성을 속이는 방식으로 메시지를 생성했다고 합니다. 즉, 해커는 이체된 자금에 대한 유효한 청구권이 없는데도 BSC 토큰 허브는 모든 것이 유효하다고 판단하여 지급을 진행했습니다.
바이낸스가 해킹을 당한 직후, CEO 창펑 자오는 해커들이 200만 개의 바이낸스 토큰을 발행하고 이를 바이낸스 지갑에 입금하여 5억 6천만 달러를 빼돌리려 하자, 팀이 공격을 조사하는 동안 네트워크를 완전히 중단하기 위해 검증기를 꺼버렸다고 발표했습니다.
보안 조치로, 검증자들은 "며칠 내로" BNB 자동 소각을 사용할지 여부에 대해 투표할 예정이며, 이는 BNB 공급량을 1억 개 미만으로 유지하기 위해 사용되는 프로세스입니다. 바이낸스는 이 절차가 해킹된 자금을 복구하는 데 사용될 것이라고 밝혔습니다. 또한, 검증인 투표에는 해커를 잡기 위한 현상금(회수된 자금의 최대 10%)이 포함될 예정이며, "중요한" 버그를 발견하고 신고하는 자비로운 해커에게 백만 달러를 수여하는 이른바 '위챗 프로그램'이 만들어질 예정입니다.
이 글의 출처는 Forbes의 기사입니다.