On July 25th, 2023, EraLend suffered a 2.76M USD damage due to a Read-Only Reentrancy attack exploiting their collateral valuation algorithm. They are working to recover funds. SyncSwap, related in the attack, claims no responsibility. Impact on other zkSync Era protocols appears minimal.
Donkey 때도 그렇고, 실타래 때도 그렇고, 국내 DApp에서 이슈가 생길 때마다 블로그에 글을 쓰는 것이 좋게 느껴지지는 않아서, 다음부터는 이러한 "크립토 렉카" 같은 글은 지양해야겠다고 생각했습니다만, Klaytn의 사내 벤처 회사가 만든 DApp에 자금 세탁 기능이 포함되어 있다고 해서 너무 궁금해진 나머지, 코드를 분석해 정말로 자금 세탁 기능이 있는 것인지 확인해 보았습니다.
TL;DR : 전부터 하고 싶었던 이야기입니다. NFT가 왜 생겨났고, 게임과 예술품에 우선적으로 적용이 되었는지, 그리고 그 과정에서 어떤 오해들이 있었는지 이야기합니다. 그리고 나서 왜 NFT가 디지털 자산, 나아가서는 실물 자산과 연동되는 것이 필연적인지, 앞으로 NFT가 우리에게 있어 어떤 형태의 투자 상품이 되는 것이 바람직 할지에 대해서 간단하게 이야기 합니다.
TL;DR; 2월 26일에 Klaytn 기반의 NFT인 실타래에서 데이터 Reveal 과정에서 해킹으로 인하여 희귀 카드인 이순신 카드가 탈취 되었다. 실타래 NFT Reveal은 누구나 쉽게 예측 할 수 있는 값을 난수로 NFT ID를 생성하고 있었고, 악의적인 누군가가 그를 악용하여 희귀 NFT를 뽑은 사건이다. 이 글은 해당 취약점에 대한 분석을 담고 있다.
TL;DR : Crosschain 탈중앙화 대출 서비스인 Qubit Finance가 해킹되어 약 960억에 달하는 가상자산이 유출되었다. 원인은 Crosschain Bridge의 프로그램과 컨트랙트의 데이터 검증이 상당히 빈약하여, ETH를 입금하지 않고도 BSC로 xETH를 옮길 수 있었다. 해커는 ETH 없이 xETH를 발행하여 그것을 담보로 가상자산을 빌려 이익을 보았다. 이 글은 해당 취약점에 대한 분석을 담고 있다.
TL;DR : 코드 공개 이슈가 있었던 Donkey의 바이트코드를 간단한 Decompile 기법을 이용해서 확인해 보았다. Donkey는 랜딩 프로토콜인 Compound의 Fork인 것으로 보이며, 현재 소스 코드를 Verify하지 못하는 이유는 Audit 결과에 따른 마이너 업데이트가 아직 진행 중이기 때문인 것으로 보인다.