분류 전체보기322 [2차 포스팅] PEPE Token의 Rug Pull 분석 1차 포스팅은 아래 링크를 참고해주세요. PEPE Token의 Rug Pull 분석 Rug Pull Rug Pull은 재단(또는 개발자)에서 보유한 또는 무단 발행한 물량을 시장에 던짐으로써 투자자나 사용자들에게 피해를 끼치는 행위를 의미합니다. PEPE Token Rug Pull UTC 기준 23년 8월 24일 밈 토 hacksms.tistory.com 8월 26일 11:49 AM(UTC 기준), 재단 측에서 드디어 공식 입장을 발표했습니다. 재단 측의 발표에 따르면, 탐욕에 눈이 먼 내부자의 소행에 의해 Rug Pull이 이뤄졌고 실제 거래소에서 판매까지 이뤄졌다고 합니다. 재단의 MultiSig Wallet(0x5B..)에서 보유하고 있던 26조개의 토큰 중 약 16조개의 토큰이 이번 사태로 인해 .. 2023. 8. 26. PEPE Token의 Rug Pull 분석 Rug Pull Rug Pull은 재단(또는 개발자)에서 보유한 또는 무단 발행한 물량을 시장에 던짐으로써 투자자나 사용자들에게 피해를 끼치는 행위를 의미합니다. PEPE Token Rug Pull UTC 기준 23년 8월 24일 밈 토큰으로 유명한 PEPE 토큰에서도 Rug Pull로 의심되는 행위가 발견되었습니다. 실제 Transaction을 통해 하나씩 뜯어보겠습니다. (사실 상 Rug Pull로 확실시 되는 분위기) Pepe (PEPE) Token Tracker | Etherscan Pepe (PEPE) Token Tracker on Etherscan shows the price of the Token $0.00, total supply 420,689,899,999,994.7930999999999.. 2023. 8. 25. [go-and-dont-return] Github Security Lab CodeQL CTF 문제 요약 CTF Link : https://securitylab.github.com/ctf/go-and-dont-return/ MinIO는 Amazon S3 호환 객체 저장소로, 2023년 4월 MinIO Admin API에서 Authentication Bypass 취약점이 발견되었습니다. 해당 취약점은 Admin Access Key를 알고 있다면, Secret Key을 모르는 상태에서도 Admin API 작업을 수행할 수 있는 취약점으로 CVE-2020-11012를 할당받았습니다. 취약점이 조치된 Commit을 보면, 에러가 발생했을 때 Return이 누락된 것을 볼 수 있습니다. func validateAdminSignature(ctx context.Context, r *http.Request, r.. 2023. 8. 21. CodeQL 설치 및 사용 방법 CodeQL 설치 방법 ※ 아래의 설치 방법은 Linux 및 Windows의 설치 방법이며, Mac은 이 링크를 참고 1. CodeQL CLI 설치를 위해 CodeQL Bundle을 다운로드합니다. 해당 Bundle에는 아래의 프로그램이 포함됩니다. - CodeQL CLI - CodeQL Queries 및 Libraries 호환 버전 - Bundle에 포함된 모든 Queries의 사전 컴파일 버전 2. 다운로드 받은 Bundle을 압축 해제한 뒤, 환경 변수 PATH에 등록해줍니다. 파일 이름에 Platform 정보가 있는 파일은 모든 Platform의 CLI가 포함되어 있습니다. Releases · github/codeql-action Actions for running CodeQL analysis. .. 2023. 8. 21. [IMDS] AWS Instance Meta-data Service를 활용한 공격 AWS Instance Meta-data Service (IMDS) AWS의 EC2 Instance에는 Instance Meta-data 라는 데이터가 존재합니다. Instance Meta-data는 Application이 실행 중인 Instance를 구성 및 관리하는데 사용할 수 있는 EC2 관련 데이터입니다. 그리고 Instance Meta-data Service(IMDS)는 EC2 Instance의 Meta-data에 접근할 수 있는 서비스를 의미합니다. AWS IMDS는 Version 1(v1)과 Version 2(v2)가 존재하며, EC2 Instance 생성 시 옵션에 따라 사용 버전을 선택할 수 있습니다. Default 설정은 아래 화면에 보이는 것처럼 "선택"이고, "선택"으로 설정 시 템.. 2023. 8. 15. Vyper Language Re-Entrancy 취약점 분석 (With Curve Pool Hacking) 기본 개념 EVM 단일 스레드 비동시 시스템으로, 블록체인에서의 제어 흐름은 일반적인 프로그램과는 달리 프로그램(ex: Smart Contract)이 다른 프로그램을 호출할 때마다 전체 제어 흐름이 호출된 프로그램으로 전달됩니다. Vyper Ehereum Virtual Machine(EVM)을 대상으로 한 Smart Contract 기반의 Pythonic한 프로그래밍 언어입니다. Re-Entrancy Attack 제어 흐름이 호출된 Smart Contract로 넘어가는 특성을 악용한 공격으로 제어 흐름이 넘어가는 함수에 반복적으로 재진입(ex : A -> B -> A ...)하여 상태가 업데이트 되기 전에 이전 상태를 악용(자산 탈취 등)할 수 있습니다. Re-Entrancy Attack 대응 방안 1... 2023. 8. 13. [2020 Hitcon] Discover Vulnerabilities with CodeQL 번역 아래 내용은 2020년 Hitcon Conference 발표 자료를 번역하여 작성한 내용임을 밝힙니다. https://hitcon.org/2020/slides/Discover vulnerabilities with CodeQL.pdf https://hitcon.org/2020/agenda/46b26ca1-b4fc-461f-8ee3-b72a3aea7339/ CoeQL은 Variant Analysis를 지원하는 광범위한 라이브러리와 함께 제공되며, 여러 Langauge(C/C++, C#, Java, Javascript, Python ..)을 지원합니다. Static Analysis Data Flow Analysis Taint Anaylsis CFG Analysis Static Analysis Snapshot .. 2023. 7. 25. Random Password Generator Online 비밀번호 생성기는 대문자, 소문자, 숫자, 특수문자(!, @, #, $)를 반드시 포함함 HTML 삽입 미리보기할 수 없는 소스 2023. 7. 23. Truffle를 통한 Reentrancy Attack 실습해보기 먼저 Reentrancy Attack에 대한 내용이 궁금하신 분들은 아래 포스팅을 확인해주세요. Reentrancy Attack in Smart Contract Smart Contract는 블록체인 기술에서 중요한 개념 중 하나로, 계약 체결과 실행을 자동으로 수행할 수 있는 프로그램이며, 블록체인 기술을 활용하여 제 3자의 인증 기관 없이 개인 간 계약이 이루어 hacksms.tistory.com 참고로 Local 환경은 Truffle과 Ganache를 이용하여 구축하였습니다. 구축 방법은 아래 포스팅을 확인해주세요. Ethereum 로컬 개발 환경 구성하기 (with Smart Contract) 사실 Etehreum은 Test Nets이 있기 때문에 Remix와 같은 도구들을 통하여 Test Nets.. 2023. 7. 23. 이전 1 2 3 4 5 6 ··· 36 다음
