트론 DApp에서 발생한 스마트컨트랙트 해킹은 어떤 공격인 건가요?
해킹의 종류가 참 많은 거 같은데요.
트론 프로토콜 자체는 안전하다고 하던데, 댑의 스마트컨트랙트 해킹을 할 수 있는 건가요?
이번 사건은 트론 블록체인이나 BTT 토큰 자체의 문제라기 보다는 트론뱅크의 스마트 컨트랙트 코드에 보안 취약점이 있었고 이것을 해커가 이용함으로써 피해가 발생했다고 보는 것이 좋을 것입니다.
해커는 트론뱅크의 스마트 컨트랙트 코드 중 invest 함수가 실행될 때 투자되는 토큰의 ID를 별도로 제대로 확인하는 조건이나 이를 보완할 추가적인 코드가 존재하지 않는다는 것을 알게 되었습니다. 그러자 해커는 BTTx라는 위조 토큰을 생성해 트론 뱅크로 보내어 투자하는 형식으로 입금을 하게 됩니다. 당연히 진짜 BTT 토큰의 ID인 100200와의 일치를 확인하는 조건이나 이를 검증하는 코드가 존재하지 않으므로 invest 함수가 정상적으로 실행되었고 위조된 BTTx 토큰이 트론뱅크 쪽에서는 정상적으로 BTT가 투자된 것으로 인식되게 됩니다.
이렇게 애초에 존재하지 않는 BTT가 대량으로 투자된 것으로 성공적으로 적용되자, 다시 해커는 Withdraw 기능을 통해 반복해서 진짜 BTT 토큰을 인출해 나가는 것에 성공하게 됩니다.
일단 트론 재단 측에서는 트론 블록체인이나 BTT 토큰은 정상적으로 운영되고 있고 보안 취약점이 없다고 말하면서, 트론뱅크의 스마트 컨트랙트 코드에 문제가 있는 것이라고 밝혔지만, 이러한 취약점을 갖고 있는 다른 유사한 서비스가 있다면 같은 방식으로 해킹 피해를 입을 수 있다는 것을 경고하고 있는 듯합니다.
답변이 도움이 되길 바랍니다.