Crypto 또는 Blockchain 프로젝트에서 발생한 이른바 "HACK"이 합법적인지 아니면 RUG를 숨기기 위한 메커니즘인지 판단하는 방법은 무엇입니까?

분명히, MtGox나 QuadrigaCX 또는 창립자들이 사라지는 동안 대부분의 디지털 자산을 보유한 개인 키를 잃어버렸다고 주장하거나 나중에 죽은 채로 발견된 유사한 사례 이후, 암호화 영역에 있는 사람들은 그들이 프로젝트를 해킹하고 가장 먼저 떠오르는 생각은 설립자들이 기본적으로 자금을 비우고 그것으로 도망쳤다는 것입니다. 이것이 일반적으로 RUG라고 불리는 것입니다.

이것은 아마도 많은 프로젝트의 경우일 수 있지만 모든 프로젝트에서 반드시 그런 것은 아니므로 오늘 우리는 상황의 특성으로 인해 실제 해킹이라고 생각되는 사례를 살펴보고 있습니다.

일반적으로 스마트 계약 또는 블록체인 관련 프로젝트에서 보안 및 감사의 중요성을 더 잘 이해하는 데 도움이 될 것이기 때문에 분석하기에 흥미로운 사례라고 생각합니다.

BSC(Binance Blockchain)에서 출시된 토큰인 RING Financial 프로젝트에 일어난 드라마를 객관적으로 분석해 보겠습니다.

해킹을 시작하기 전에 먼저 프로젝트와 그 상황을 요약하겠습니다.

해킹 전 RING 파이낸셜

RING 금융은 DeFi 및 암호화폐 커뮤니티에서 DeFi에 더 쉽게 접근할 수 있도록 하는 것을 목표로 하는 DeFi 프로젝트였습니다. 노드 보유자가 관리하고 한 번에 300개 이상의 프로토콜에 유동성을 할당하는 노드 산출 프로토콜을 만들고자 하는 야심찬 프로젝트입니다. 목표는 하나의 RING 노드와 RING Dapp을 통해 모든 프로토콜에 액세스하는 것이었습니다.

이러한 프로토콜은 팀에서 확인한 다음 커뮤니티에서 할당할 위치에 대해 투표했습니다. RING을 매우 매력적으로 만든 DAO에서와 동일한 투표 개념입니다.

RING Financial은 또한 단일 노드 보유자에 대한 많은 연구 프로세스 및 배포 프로세스를 단순화했습니다. 하나의 Dapp으로 다른 모든 Dapp에 액세스할 수 있으므로 자체 액세스 및 자체 노드가 있는 300개의 서로 다른 인터페이스 대신 하나의 인터페이스만 필요합니다.

마지막으로 RING Financial의 목표는 프로젝트의 주요 판매 포인트 중 하나인 개별 보유자의 거래 수수료가 낮아지면서 다양한 프로토콜에 배포하는 데 드는 수수료를 줄이는 것이었습니다. 커뮤니티를 위해 일을 더 쉽게 만들고 Defi를 모르는 사람들을 위해 더 많은 주류를 만들기 위한 재능과 야망이 있는 프로젝트입니다.

그러나 재능과 야망이 항상 충분한 것은 아니며, 새롭고 미성숙한 시장에서는 보기 드문 전문 지식과 지식이 필요하며 이것이 RING Financial이 약속을 완전히 이행할 수 없었던 이유입니다.

그렇다면 RING Financial은 실제로 어떻게 되었습니까? 그리고 해킹당한 이유는? 블록체인 덕분에 우리는 이를 조사하고 취약점이 있는 위치와 이유를 확인하는 데 필요한 모든 포렌식 증거를 확보했습니다. RING 파이낸셜은 사기가 아니었습니다.

RING Financial HACK은 5년 2021월 2일 오후 01시 2분에서 06시 XNUMX분(UTC) 사이에 발생했습니다.

예, 말 그대로 5분 만에 모든 일이 일어났습니다! 그런데 이러한 세부 정보에 대한 블록체인 스캐너 덕분에 HACK과 관련된 트랜잭션 링크 바로 아래에 더 자세히 검색하려는 사람들을 위해 계약 주소를 제공합니다.

다음은 공격자가 악용한 결함을 설명하는 요약입니다.

RING Financial의 스마트 계약이 여러 부분으로 구성되어 있다는 것을 이해해야 합니다. 하나는 토큰과 관련된 모든 데이터이고 다른 하나는 노드 및 보상 회계와 관련된 모든 것입니다. 토큰의 일부는 계약의 관리자만이 이 데이터의 중요한 데이터를 수정할 수 있도록 보안을 가지고 있습니다. 일부 코드를 보여주기 위해 여기에 "onlyOwner' 속성을 통해 보호되는 계약 기능의 헤더가 있습니다. 기능은 관리자만 실행할 수 있음을 규정합니다.

가 없는 함수 유일한 소유자 속성(또는 함수의 액세스를 보호하기 위한 동등한 속성)은 문자 그대로 누구나 실행할 수 있습니다.

자, 어때요? Nodes and Rewards 부분의 기능에는 이 속성이 없었습니다. 아래의 기능 이름을 보면 알 수 있습니다( 유일한 소유자 속성이 없습니다):

상상할 수 있듯이 해커는 이 결함을 악용하고 사기를 쳐서 RING에서 기하급수적인 보상을 얻은 다음 유동성 풀에 버리고 몇 분 만에 거의 격렬하게 비웠습니다. 따라서 그는 사기를 저질렀습니다.

이제 당신은 아마 스스로에게 두 가지 질문을 하게 될 것입니다.

개발자는 어떻게 그런 허점을 남길 수 있습니까?

Solidity 개발자(Ethereum에서 스마트 계약을 코딩하는 데 사용되는 언어)와 이야기를 나눈 후 이것은 두 스마트 계약 간의 역할 상속과 관련된 오류입니다. 상속은 프로그래밍 언어의 개념이며 두통을 일으키지 않기 위해 간단히 말해서: 기본적으로 계약을 코딩한 사람은 Node 부분의 기능이 Token 부분의 기능의 보안 역할을 물려받았다고 생각했을 가능성이 높지만 안타깝게도 Solidity에서는 그렇지 않으며, 링크가 무엇이든 간에 각 계약의 각 기능의 역할을 재정의해야 합니다. 따라서 이 점에 대한 우리의 결론은 개발자가 전문가가 아니었고 아마 서둘러 다시 읽을 시간도 없이 계약서를 게시했을 것입니다.

이 결함을 의도적으로 남긴 것이 개발자 자신이 아니며 사기가 아니라는 것을 어떻게 알 수 있습니까?

매우 좋은 이의 제기 방법에 대해 잘 모를 때 사기를 추측하기 쉽습니다. 현명한 계약 19년 2021월 XNUMX일 BSCSCAN.COM(바이낸스 블록체인의 가장 인기 있는 스캐너)에 공개적으로 스마트 계약의 전체 코드를 게시하고 확인했기 때문에 개발자의 결백을 가정하는 것은 실제로 매우 쉽습니다. 즉, RING Financial HACK이 발생하기 XNUMX주 이상 전입니다. 그리고 앞서 설명드린 대로 계약서에 BLACK ON WHITE로 결함이 적혀있었고, 숙련된 개발자라면 누구나 눈치채고 대응했을 텐데 아쉽게도 첫 번째는 자비가 전혀 없었습니다. 따라서 개발자가 언제든지 RING Financial 프로젝트를 중단시킬 수 있는 위험을 감수하지 않았기 때문에 개발자가 이 결함을 인식하지 못한 것이 분명합니다.

계속되는 RING Financial HACK으로 돌아가기 위해 개발자는 자신의 실수를 깨닫고 계약을 동결하여 공격자가 풀을 완전히 비우지 않도록 보상 분배를 중지했습니다. 그런 다음 이번에는 "onlyOwner" 보안 속성을 사용하여 노드 계약을 재배포했습니다. 이 새로운 노드 계약은 새로운 보상 분배를 올바르게 처리할 수 있었습니다. 단, HACK의 결과로 프로젝트와 팀에서 모든 신뢰를 잃었고 판매 압력으로 인해 토큰이 죽고 종료되었기 때문에 너무 늦었습니다. 프로젝트.

결론적으로 이 이야기를 선택한 이유는 스마트 계약과 암호화 프로젝트에 대한 두 가지 중요한 사실을 보여주기 때문입니다. 계약을 성급하게 코딩하지 말고 항상 감사 회사에 연락하십시오. 해킹이 발생하면 배를 구하기에는 너무 늦기 때문입니다. RING Financial 프로젝트가 좋은 예입니다. 또한 통신에 따르면 이 두 번째 노드 계약에 대해 감사 회사에 연락했으며 보안이 확실해질 때까지 BSCSCAN에 공개적으로 게시하지 않았습니다. 그러나 앞서 말했듯이 RING Financial에게는 너무 늦었고 피해는 돌이킬 수 없었습니다.

스캐너의 모든 링크와 계약 주소는 다음과 같습니다.

해킹 익스플로잇을 위해 거래를 실행하는 지갑: 0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 트랜잭션 해킹 익스플로잇:

 TRX1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

TRX2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

TRX3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/