Post-mortem: BiFi-BTC illegal address registration

요약

지금까지 파악된 정보에 의하면, 공격은 BiFi 스마트 컨트랙트와 프로토콜의 취약점을 이용한 것이 아니라, 공격자가 BTC 주소 등록 서버에 침투하여 서버의 키 정보를 탈취한 서버 보안문제에 국한되어 있습니다. 따라서 Theori의 보안 검수를 받은 BiFi 서비스 자체에 대한 안전성은 아직도 유효하며, 여러분의 자산도 지속적인 모니터링을 통해서 안전하게 운영되고 있습니다. 노출된 key와 관련된 핵심 보안 정보는 안전하게 갱신하였습니다. 서버 운영의 보안 사고에 대해서도 유수 보안업체와 긴밀한 협력을 통하여 문제점을 분석하고 더 나은 해결책을 모색하고 있습니다. 다만, BTC에 관련된 기능은 완전한 보안 점검을 마칠 때까지 단계적으로 오픈할 예정입니다.

상세 경위 및 공격 Timeline

공격자 정보

btc-address:

  • address:bc1qmgh7w47myz7kt7x34zqlr5azck7u8j8ewg3u2j
  • pubkey hash: 0xDa2fe757Db20Bd65F8D1a881F1D3a2C5BdC3c8F9

Timeline

  1. 2022. 07. 08. 20:13 KST — BiFi BTC contract에 공격자 입금 주소 주입 (탈취한 키를 이용하여 서명이 조작된 메시지 이용)

2. 2022. 07. 08. 20:03 KST — 공격자가 조작된 입금 주소로 321 BTC 입금. (1번 과정과 거의 동시 진행. Bitcoin의 특성상 timestamp의 오차가 있음.)

3. 2022. 07. 08. 20:34 KST — Relayer가 입금을 감지하고, 입금 검증 내역을 BiFi에 전달.

4. 2022. 07. 08. 21:17 KST — Relayer의 confirm (BTC 담보 정보를 표현하는 BiBTC 토큰 민트 후 공격자에게 전달)

5. 2022. 07. 08. 22:35:01 KST — 공격자의 1,852 ETH 대출

대응 방안

공격자가 조속히 90%의 자금을 반환하면 법적 조치를 취하지 않겠습니다. 하지만 자금이 안전하게 반환되기 전까지는 수사기관과 긴밀하게 협력하여 공격자를 지속적으로 추적하는 노력을 계속하도록 하겠습니다. 현재 외부 서비스 업체들에 기록 공유 요청을 통해 추적을 위한 모든 수집하고 있습니다.

--

--

Universal Multichain Middleware for DApps: https://thebifrost.io/

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store