이지파이(EasyFi) - REKT



레이어2의 첫 번째 대규모 해킹은 간단(EASY)했습니다.

폴리곤 (이전의 MATIC) 네트워크는 이지 네트워크의 mnemonic 키가 잘못된 사람의 손에 들어가서, 스테이블 코인 600만 달러어치와 5300만 달러어치의 EASY 토큰들이 별 문제없이 사라졌습니다.

창업자는 이번 공격 수법을 넥서스 뮤추얼(Nexus Mutual)의 Hugh Karp에게 가해진 공격과 비교하였습니다 - 기계가 공격당해 모든 유동성을 잃어버린 사건이었습니다.

유저들의 자산을 이런 식으로 잃어버리면 우리는 어떻게 반응해야할까요?

이러한 케이스에서 "해킹인지 취약점 공격"인지를 논의하는 것은 의미 없습니다. 조금 더 회의적인 독자 분들은 "사기"라는 단어를 떠올리실 지도 모릅니다.

해커는 코드의 허점을 통해 공격한 것도 아니고, 창업자도 이해할만한 보안 조치를 취한 것으로 보이지만, 그들은 여전히 rekt.news 리더보드에 한 자리를 차지하게 되었습니다.

안전한 사람은 아무도 없을까요?

공격을 받았다는 사실이 공표되었고, 해커가 298만개의 EASY 토큰을 들고 있음에도 불구하고, 가격은 생각만큼 폭락하지는 않았습니다.

가격은 해킹 이후 24시간 동안 ~20%정도만 하락했을 뿐입니다. 이것은 아마 해커가 훔친 토큰들을 아직 팔지 않았기 때문으로 생각됩니다.

EASY는 24시간 거래량이 대략 1000만 달러(최근 24시간 동안은 4300만 달러)인 상대적으로 유동성이 적은 자산입니다.

해커는 전체 물량의 30% 정도를 손에 쥐고 있고, 이렇게 유동성이 낮은 상태에서는 그도 어떻게 할 방법이 딱히 없습니다. 창업자 또한 어려운 상황에 처했습니다; EasyFi 네트워크가 범죄자에게 중앙화되었기 때문입니다.

따라서 해커는 서류상 저희 리더보드의 1위에 해당하나, 과연 - 그럴만 할까요?

이지파이의 창업자는 다음과 같이 적었습니다;

공격받은 기계는 매번 사용되는 것이 아니었으며, 오직 공식적인 전송에서만 사용되었었습니다.

만약 이 자산들이 "공식적인 전송"에서만 사용되었다면, 이것들은 트레저리의 일부분이었을 것입니다. 만약 그렇다면 어떻게 개인 유저나 디바이스가 접근권한을 가지고 있을 수 있었을까요? 그리고 왜 이 토큰들은 멀티시그 지갑이나 하드웨어 지갑에 보관되지 않았을까요?

만약 관리자 키가 메타마스크 핫 월렛 정도로 보호되고 있었다면 이들을 동경할 이유는 없어 보입니다. 다른 사람들의 자산을 책임지는 사람이 최대한의 보안을 유지하지 않을 이유가 없기 때문입니다.

저희는 아마도 이번 공격에 대한 자세한 내용을 설명해줄 @AnkittGaur님의 더 자세한 사후 분석 보고서를 기다리고 있습니다.

그들이 “사전 사후 분석 보고서”에 첨부한 공개서한을 보면, 이지파이는 공격자들에게 자비를 구하고 있는 것으로 보입니다.

해커들에게 전달하는 공개서한

당신은 이지파이 커뮤니티에서 많은 자금을 훔치기 위해 매우 정교한 기술을 사용했습니다. 이지파이는 레이어 2 폴리곤 네트워크의 초기 참여자 중 하나로서 사용자들로부터 많은 사랑과 지원을 받은 매우 새로운 프로젝트입니다.

저희는 아직 매우 초기 단계에 있으며 개인 자격으로 모든 손실을 보상할 수 있는 위치에 있지 않습니다. 저희는 커뮤니티를 돌보고 있으며, 이 도난 사건으로 인해 사용자에게 발생한 모든 손실을 보상하기 위해 최선을 다할 것입니다. 저희는 큰 충격에 빠졌고, 처음부터 저희를 의지하고 지지했던 사용자들도 마찬가지입니다.

프로젝트의 설립자로서, 지금까지 이지파이를 구축하기 위해 들인 노력에 대해 사려 깊게 생각해 주실 것을 촉구합니다. 그리고 향후 모든 법적 문제를 피하기 위해 모든 자금을 반환하고 적절한 바운티를 지급받을 가능성을 논의해 주시기를 요청합니다. 저희는 100만 달러 상당의 화이트 해커에 대한 지불을 고려할 수 있으며, 이 사건에 대해 어떠한 법적 절차도 시도하지 않을 수 있습니다.

이 프로토콜은 몇 천 명의 유저가 있었지만, 창업자는 개인의 관점으로 봐도 높지 않은 수준의 OPSEC을 사용하고 있었습니다.

결론적으로, 사건은 외부의 공격자 때문이었지만, EASY 토큰 보유자들은 계속해서 불안한 상황에 놓였습니다.

(단 하나의) 관리자 키는 아래와 같이 타임 락도 없는 상태로 모든 유동성을 "전송"할 수 있었습니다.

낮은 수준의 OPSEC과 전반적인 노력의 부족으로 엄청난 양의 자산을 잃어버렸습니다.

이지파이가 어떻게 이 상황을 설명할지는 모르겠지만, 책임을 다른 곳에 돌리기에는 쉽지 않아 보입니다.

그들은 왜 멀티시그나, 하물며 하드웨어 지갑을 사용하지 않았을까요?


기사 공유하기

REKT는 익명 작성자들에 의한 공공 플랫폼이며, REKT에 작성된 관점이나 내용에 대해서 그 어떤 책임도 지지 않습니다.

기부 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

disclaimer:

REKT는 당사 웹 사이트의 익명의 작성자 또는 REKT에 의해 게시되거나 관련된 서비스에서 게시되는 콘텐츠에 대해 어떠한 책임도 지지 않습니다. 당사는 익명 작성자들의 행동 및 게시물에 대한 규칙을 제공하지만, 익명의 작성자가 웹 사이트 또는 서비스에 게시, 전송 혹은 공유한 내용을 통제하거나 책임지지 않으며, 귀하가 웹 사이트 또는 서비스에서 직면할 수 있는 불쾌함, 부적절함, 음란함, 불법 또는 기타 해로운 콘텐츠에 대해서도 책임을 지지 않습니다. REKT는 당사 웹 사이트 또는 서비스 사용자의 온라인 또는 오프라인 행위에 대한 책임을 지지 않습니다.