ChainCatcher 메시지, 안전 기관 Dilation Effect가 트위터에 글을 올려 최근 공격자가 TON 체인에서 대규모 가짜 USDT 충전을 시도하고 있다고 경고했습니다. Dilation Effect의 체인 모니터링 시스템은 하나의 악의적인 주소가 가짜 USDT 토큰 계약을 배포하고 있으며, 해당 계약의 메타데이터는 공식 USDT와 완전히 동일하다고 발견했습니다. 이 계약은 이미 여러 거래소에서 가짜 충전 테스트를 진행했습니다.Dilation Effect는 최근 많은 거래소가 TON 체인의 USDT 충전을 지원하기 시작했으며, 시스템이 아직 완벽하지 않아 가짜 충전 공격에 취약할 수 있다고 특별히 경고했습니다. 공격자의 전략은 일반적으로 소액 테스트 충전을 먼저 진행한 후, 점차 금액을 늘려 더 큰 자금을 속이려는 것입니다. 거래소는 모니터링을 강화하고, 특히 대액 TON 체인 USDT 충전에 대해 엄격한 검토를 실시하여 가짜 충전 사건이 자금 안전에 미치는 영향을 방지해야 합니다.

ChainCatcher 메시지에 따르면, X-explore의 폭로로 인해 계약 변경으로 GALA가 CEX에서 "가짜 충전" 위험이 존재하며, 해커는 9월 6일 해당 취약점을 이용해 Coinhub에서 2.7 ETH 가치의 GALA를 모두 인출했습니다.분석에 따르면, Gala Game의 토큰 GALA는 2023년 5월 15일에 중대한 업그레이드를 진행하였고, 토큰 계약 주소가 업데이트되었습니다. 따라서 현재 두 가지 토큰이 유통되고 있으며, 모두 GALA라고 불립니다. 구 GALA와 정상 GALA의 가격 비율은 1:12입니다. 공격자는 올해 7월 27일부터 구 GALA 토큰을 각 거래소에 충전하여 가짜 충전을 테스트하고 있습니다.동시에 해커는 LDO "가짜 충전" 사건과 지난해 8월의 Nomad Bridge 공격 사건에도 연루되었습니다. 9월 6일, 해커는 구 GALA 토큰을 CoinHub에 충전하여 거래소가 충전된 구 GALA를 정상 GALA 토큰으로 인식하게 만들었습니다. 이후 해커는 실제 GALA를 인출하였고, 현재 거래소의 핫 월렛에는 168달러 가치의 GALA만 남아 있으며, 해커는 2.7 ETH를 벌었습니다.이전 소식에 따르면, 느린 안개는 LDO의 토큰 계약에 잠재적인 "가짜 충전" 위험이 존재한다고 밝혔으며, Lido는 위험이 예상 내에 있다고 응답하였고, LDO와 stETH는 여전히 안전하다고 전했습니다.

ChainCatcher 메시지에 따르면 "LDO의 토큰 계약에 잠재적인 '가짜 충전' 위험이 존재"하는 문제에 대해 Lido Finance는 해커가 LDO 토큰 계약의 알려진 보안 취약점을 이용했다고 주장했지만, LDO와 stETH 토큰은 여전히 안전하다고 밝혔습니다. Lido는 어떤 취약점도 확인하지 않았지만, 보안 취약점이 알려져 있음을 인정했습니다.ChainCatcher의 어제 메시지에 따르면, 느린 안개 보안 팀의 체인 상 정보에 따르면 LDO의 토큰 계약에 잠재적인 "가짜 충전" 위험이 존재하며, 악의적인 공격자가 이 특성을 이용해 사기 행위를 시도할 수 있습니다.

ChainCatcher 메시지에 따르면, 느린 안개 보안 팀의 체인 상 정보에 따르면, LDO의 토큰 계약은 전송 작업을 처리할 때, 전송 수량이 사용자가 실제로 보유한 수량을 초과하면 해당 작업이 거래의 롤백을 트리거하지 않습니다. 반대로, 처리 결과로 false를 직접 반환합니다. 이러한 처리 방식은 많은 일반적인 ERC20 표준 토큰 계약과 다릅니다.위의 특성으로 인해 잠재적인 "가짜 충전" 위험이 존재합니다. 악의적인 공격자는 이 특성을 이용해 사기 행위를 시도할 수 있습니다. 느린 안개는 다음과 같이 권장합니다:토큰 입금 로직을 처리할 때, 거래의 성공 또는 실패에만 의존하지 말고, 토큰 계약의 실제 반환 값을 기준으로 판단해야 합니다.시장에는 많은 비 ERC20 표준 토큰 계약이 존재합니다. 새로운 토큰을 접속하기 전에 반드시 해당 계약 코드를 깊이 이해하고 분석하여 올바른 입금 로직을 구현해야 합니다.정기적으로 코드 감사 및 보안 점검을 수행하여 시스템의 견고성과 안전성을 확보하는 것이 좋습니다.토큰 계약의 구현 및 행동은 프로젝트에 따라 다를 수 있습니다. 자금의 안전과 거래의 정확성을 보장하기 위해, 새로운 토큰을 접속하기 전에 해당 계약 로직을 깊이 이해하고 충분한 테스트를 수행하는 것이 강력히 권장됩니다.