Technical Analysis Released on Bybit Hot Wallet Exploit
Technical Analysis Released on Bybit Hot Wallet Exploit
Cryptocurrency exchange Bybit suffered a sophisticated smart contract exploit on February 21, 2025, resulting in the theft of 401,346.76 ETH (approximately $1.2 billion at time of incident).
gbhackers.com
- 공격 개요
- 2025년 2월 21일, 암호화폐 거래소 Bybit의 핫월렛에서 약 401,346.76 ETH(약 12억 달러 상당)가 탈취됨
- 공격자는 스마트컨트랙트 구조의 취약점을 악용해 delegatecall 체인을 통해 핫월렛 프록시를 장악
- Web3 역사상 가장 정교한 스마트컨트랙트 공격 중 하나로 평가됨
- 공격 경로 및 기술 세부사항
- GnosisSafe 멀티시그 월렛과의 정상적인 상호작용으로 위장하여 공격 개시
- 악성 구현 컨트랙트(0x9622142)를 배포하여 프록시 저장소(slot0) 조작
- delegatecall을 이용한 체이닝 기법으로 보안 검사를 우회하고 저장소를 오염시킴
- transfer 함수 내부에서 프록시 구현 주소를 공격자가 제어하는 주소로 교체하는 코드 삽입
- 자금 탈취 실행
- 90 USDT 테스트 트랜잭션 수행 후 본격적인 ETH 탈취 실행
- 3건의 트랜잭션으로 프록시 주소의 전체 ETH 잔고를 공격자 주소로 전송
- 최종 트랜잭션은 블록 18,432,107에서 실행되어 401,346.76 ETH 탈취 완료
- 분석 및 전문가 의견
- 프록시 업그레이드 패턴과 저장소 슬롯 하이재킹을 결합한 고난도 기법
- delegatecall 연쇄 호출을 통해 지갑의 핵심 로직 자체를 재작성한 셈
- 이는 스마트컨트랙트 보안 모델에 근본적 재검토를 요구하는 사건
- 대응 및 향후 전망
- Bybit 보안팀은 체인 분석 기업들과 협력해 자금 추적 중
- 공격자는 디파이 DEX 및 크로스체인 브리지를 통해 자금 흐름을 은폐 시도
- 이더리움 재단은 delegatecall 기능 개선을 위한 긴급 EIP를 발표 예정
- 모든 거래소 및 프로젝트는 프록시 기반 스마트컨트랙트에 대한 실시간 저장소 모니터링 및 코드 감사 체계 구축 필요
- 결론
- 스마트컨트랙트의 유연성이 높은 만큼 공격면도 넓어졌으며, 프록시 및 업그레이드 가능한 컨트랙트는 보안 우선 접근이 필요
- delegatecall 남용을 방지할 수 있는 설계 구조 및 거버넌스 메커니즘 강화 필요
- 본 사건은 스마트컨트랙트 보안의 새로운 위협 모델을 보여준 대표 사례로, Web3 전반의 보안 아키텍처 재정립을 요구함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| BadBox 2.0 악성코드, 100만 대 이상 안드로이드 기기 감염…Google Play 통해 유포 (0) | 2025.04.01 |
|---|---|
| 일본 대상 지속적 사이버 공격 분석 (0) | 2025.04.01 |
| eBPF는 컨테이너 네트워킹을 어떻게 바꿔놓았나 (0) | 2025.03.31 |
| 2025년 데이터 및 분석 전략을 이끄는 9가지 핵심 키워드 (0) | 2025.03.31 |
| 2025년 주요 랜섬웨어 위협 행위자 동향 정리 (0) | 2025.03.31 |