트론 댑 해킹 사건 질문드립니다.
안녕하세요?
이번에 트론의 댑 해킹 사건이 일어났는데요 트론 배당 댑 트론뱅크에 가짜토큰이 발생했다고 합니다.
그런데 해킹을 당했으면 금방 해결을 하면 될텐데 블록체인 보안팀이 또 추가해킹이 될 수 있다고 경고하고 있는 상황입니다.
아마 토큰의 기술적 결함이 있어서 해킹에 취약한거 아닌가 싶은데 어떻게 해서 이런일이 생긴건가요?
답변 미리 감사드립니다.
이번 사건은 트론 블록체인이나 BTT 토큰 자체의 문제라기 보다는 트론뱅크의 스마트 컨트랙트 코드에 보안 취약점이 있었고 이것을 해커가 이용함으로써 피해가 발생했다고 보는 것이 좋을 것입니다.
해커는 트론뱅크의 스마트 컨트랙트 코드 중 invest 함수가 실행될 때 투자되는 토큰의 ID를 별도로 제대로 확인하는 조건이나 이를 보완할 추가적인 코드가 존재하지 않는다는 것을 알게 되었습니다. 그러자 해커는 BTTx라는 위조 토큰을 생성해 트론 뱅크로 보내어 투자하는 형식으로 입금을 하게 됩니다. 당연히 진짜 BTT 토큰의 ID인 100200와의 일치를 확인하는 조건이나 이를 검증하는 코드가 존재하지 않으므로 invest 함수가 정상적으로 실행되었고 위조된 BTTx 토큰이 트론뱅크 쪽에서는 정상적으로 BTT가 투자된 것으로 인식되게 됩니다.
이렇게 애초에 존재하지 않는 BTT가 대량으로 투자된 것으로 성공적으로 적용되자, 다시 해커는 Withdraw 기능을 통해 반복해서 진짜 BTT 토큰을 인출해 나가는 것에 성공하게 됩니다.
일단 트론 재단 측에서는 트론 블록체인이나 BTT 토큰은 정상적으로 운영되고 있고 보안 취약점이 없다고 말하면서, 트론뱅크의 스마트 컨트랙트 코드에 문제가 있는 것이라고 밝혔지만, 이러한 취약점을 갖고 있는 다른 유사한 서비스가 있다면 같은 방식으로 해킹 피해를 입을 수 있다는 것을 경고하고 있는 듯합니다.
답변이 도움이 되길 바랍니다.