Hack129 Upbit의 Aptos를 사칭한 Scam Token 입금 반영 사고 분석 사고 요약 여러 정보들을 종합해보았을 때, 아래와 같은 흐름으로 사고가 발생했을 것으로 추측하고 있습니다. 1. Aptos Mainnet에서 코인 및 토큰 전송 시 APT 코인과 다른 토큰은 Payload의 Type_arguments를 기준으로 구분됨 - APT 코인 : 0x1::aptos_coin::AptosCoin - 다른 토큰 : 0xf658475dc67a4d48295dbcea6de1dc3c9af64c1c80d4161284df369be941dafb::moon_coin::MoonCoin 2. 업비트에서 실제 입금 반영한 Transaction을 확인해보면, Type_arguments가 0x1::aptos_coin::AptosCoin가 아닌 토큰도 APT로 입금을 반영한 것을 볼 수 있음 3. 이를 악용.. 2023. 9. 24. EOSIO 기반 Mainnet의 Smart Cotract WASM(Web Assembly) 보는 방법 EOSIO 기반의 Mainnet은 Smart Contract의 코드를 비공개하고 있어, ERC-20과 같이 코드를 쉽게 볼 수 없는데요. ㅠㅠ 사실 완전히 못보는 것은 아니고 WASM(Web Assembly)까지는 볼 수 있습니다. 그래서 오늘 포스팅할 내용은 EOSIO 기반의 Mainnet에서 Smart Contract의 WASM를 보는 방법을 포스팅하려고 합니다. EOSIO CLI 설치 방법 MAC $ brew tap eosio/eosio $ brew install eosio Ubuntu (Ubuntu 20.04 기준) $ wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.0g-2ubuntu4_amd64.deb $ sudo.. 2023. 9. 4. [2차 포스팅] PEPE Token의 Rug Pull 분석 1차 포스팅은 아래 링크를 참고해주세요. PEPE Token의 Rug Pull 분석 Rug Pull Rug Pull은 재단(또는 개발자)에서 보유한 또는 무단 발행한 물량을 시장에 던짐으로써 투자자나 사용자들에게 피해를 끼치는 행위를 의미합니다. PEPE Token Rug Pull UTC 기준 23년 8월 24일 밈 토 hacksms.tistory.com 8월 26일 11:49 AM(UTC 기준), 재단 측에서 드디어 공식 입장을 발표했습니다. 재단 측의 발표에 따르면, 탐욕에 눈이 먼 내부자의 소행에 의해 Rug Pull이 이뤄졌고 실제 거래소에서 판매까지 이뤄졌다고 합니다. 재단의 MultiSig Wallet(0x5B..)에서 보유하고 있던 26조개의 토큰 중 약 16조개의 토큰이 이번 사태로 인해 .. 2023. 8. 26. PEPE Token의 Rug Pull 분석 Rug Pull Rug Pull은 재단(또는 개발자)에서 보유한 또는 무단 발행한 물량을 시장에 던짐으로써 투자자나 사용자들에게 피해를 끼치는 행위를 의미합니다. PEPE Token Rug Pull UTC 기준 23년 8월 24일 밈 토큰으로 유명한 PEPE 토큰에서도 Rug Pull로 의심되는 행위가 발견되었습니다. 실제 Transaction을 통해 하나씩 뜯어보겠습니다. (사실 상 Rug Pull로 확실시 되는 분위기) Pepe (PEPE) Token Tracker | Etherscan Pepe (PEPE) Token Tracker on Etherscan shows the price of the Token $0.00, total supply 420,689,899,999,994.7930999999999.. 2023. 8. 25. [go-and-dont-return] Github Security Lab CodeQL CTF 문제 요약 CTF Link : https://securitylab.github.com/ctf/go-and-dont-return/ MinIO는 Amazon S3 호환 객체 저장소로, 2023년 4월 MinIO Admin API에서 Authentication Bypass 취약점이 발견되었습니다. 해당 취약점은 Admin Access Key를 알고 있다면, Secret Key을 모르는 상태에서도 Admin API 작업을 수행할 수 있는 취약점으로 CVE-2020-11012를 할당받았습니다. 취약점이 조치된 Commit을 보면, 에러가 발생했을 때 Return이 누락된 것을 볼 수 있습니다. func validateAdminSignature(ctx context.Context, r *http.Request, r.. 2023. 8. 21. CodeQL 설치 및 사용 방법 CodeQL 설치 방법 ※ 아래의 설치 방법은 Linux 및 Windows의 설치 방법이며, Mac은 이 링크를 참고 1. CodeQL CLI 설치를 위해 CodeQL Bundle을 다운로드합니다. 해당 Bundle에는 아래의 프로그램이 포함됩니다. - CodeQL CLI - CodeQL Queries 및 Libraries 호환 버전 - Bundle에 포함된 모든 Queries의 사전 컴파일 버전 2. 다운로드 받은 Bundle을 압축 해제한 뒤, 환경 변수 PATH에 등록해줍니다. 파일 이름에 Platform 정보가 있는 파일은 모든 Platform의 CLI가 포함되어 있습니다. Releases · github/codeql-action Actions for running CodeQL analysis. .. 2023. 8. 21. [IMDS] AWS Instance Meta-data Service를 활용한 공격 AWS Instance Meta-data Service (IMDS) AWS의 EC2 Instance에는 Instance Meta-data 라는 데이터가 존재합니다. Instance Meta-data는 Application이 실행 중인 Instance를 구성 및 관리하는데 사용할 수 있는 EC2 관련 데이터입니다. 그리고 Instance Meta-data Service(IMDS)는 EC2 Instance의 Meta-data에 접근할 수 있는 서비스를 의미합니다. AWS IMDS는 Version 1(v1)과 Version 2(v2)가 존재하며, EC2 Instance 생성 시 옵션에 따라 사용 버전을 선택할 수 있습니다. Default 설정은 아래 화면에 보이는 것처럼 "선택"이고, "선택"으로 설정 시 템.. 2023. 8. 15. Vyper Language Re-Entrancy 취약점 분석 (With Curve Pool Hacking) 기본 개념 EVM 단일 스레드 비동시 시스템으로, 블록체인에서의 제어 흐름은 일반적인 프로그램과는 달리 프로그램(ex: Smart Contract)이 다른 프로그램을 호출할 때마다 전체 제어 흐름이 호출된 프로그램으로 전달됩니다. Vyper Ehereum Virtual Machine(EVM)을 대상으로 한 Smart Contract 기반의 Pythonic한 프로그래밍 언어입니다. Re-Entrancy Attack 제어 흐름이 호출된 Smart Contract로 넘어가는 특성을 악용한 공격으로 제어 흐름이 넘어가는 함수에 반복적으로 재진입(ex : A -> B -> A ...)하여 상태가 업데이트 되기 전에 이전 상태를 악용(자산 탈취 등)할 수 있습니다. Re-Entrancy Attack 대응 방안 1... 2023. 8. 13. [2020 Hitcon] Discover Vulnerabilities with CodeQL 번역 아래 내용은 2020년 Hitcon Conference 발표 자료를 번역하여 작성한 내용임을 밝힙니다. https://hitcon.org/2020/slides/Discover vulnerabilities with CodeQL.pdf https://hitcon.org/2020/agenda/46b26ca1-b4fc-461f-8ee3-b72a3aea7339/ CoeQL은 Variant Analysis를 지원하는 광범위한 라이브러리와 함께 제공되며, 여러 Langauge(C/C++, C#, Java, Javascript, Python ..)을 지원합니다. Static Analysis Data Flow Analysis Taint Anaylsis CFG Analysis Static Analysis Snapshot .. 2023. 7. 25. 이전 1 2 3 4 5 ··· 15 다음
