한 블록체인 보안 회사가 세이프문 감사 결과 바이러스 밈 코인 내에서 2천만 달러의 잠재적 취약성이 발견됐다고 밝혔다.
블록체인 보안업체 해쉬엑스의 스마트 계약 감사에 따르면 세이프문은 현재 이 같은 취약점 중 12개를 보유하고 있으며, 5개는 ‘중요’와 ‘고심도’ 성격으로 분류된다.
조사 결과의 일부로서, HashEx 감사는 SafeMoon이 “임시 소유권을 포기”하는 공격과 2천만 달러라는 순간의 융자에 취약하다고 주장한다. 해쉬엑스에 따르면 세이프문 계약 소유자는 동전의 유동성 중 상당 부분을 통제하는 외부 소유 계좌(EOA)다.
내부 또는 외부의 악성 행위자에 의해 EOA가 손상되는 경우 공격자는 유동성 풀을 고갈시킬 수 있다.
실제로, HashEx 팀은 해커가 SafeMoon devs가 토큰을 굽기 주소로 보내려는 시도를 일시적으로 무시할 수 있다고 주장한다.
그러나 세이프문 팀은 계약 소유권이 안전하게 유지되고 있다고 코인텔레그래프에게 말하면서 HashEx의 조사 결과에 반박했다.
한 세이프문 개발자는 오너월렛이 타사 분산형 애플리케이션에 연결되지 않도록 하기 위한 정책이 마련됐다는 사실을 알고 있었다고 말했다.
2천만 달러의 러그 풀 가능성을 제외하고, HashEx는 공격자가 특정 사용자를 보상 수령에서 배제하거나 특정 지갑에 보상을 분배할 수 있는 몇 가지 문제가 있는 계약 세트 기능도 식별했다.
정상 조건에서는 세이프문 토큰 판매마다 10%의 수수료를 받고, 그 금액의 절반을 기존 보유자에 대한 보상으로 분배한다.
그러나, HashEx는 공격자가 수수료와 같은 계약 기능을 설정할 수 있으며, 최대 트랜잭션은 모든 값에 해당하며 각 판매에서 100% 수수료를 빼돌릴 수 있다고 주장한다.
실제로, 가능한 공격 중에 해커는 각 토큰 판매 수익금을 가로채고 지정된 지갑으로 동일한 금액을 리디렉션할 수 있다.
실제로, 이 블록체인 보안 회사는 이러한 모든 취약점들을 염두에 두고 공격자가 이러한 허점들을 시너지 효과를 발휘하여 정교한 체인 공격을 시작할 수 있다고 말한다.
세이프문의 토머스 스미스 최고기술책임자는 해쉬엑스의 감사에 대해 “이 팀은 스마트 계약 감사인 커틱이 이미 협박해 온 문제들을 알고 있었다”고 말했다.
스미스에 따르면, 해쉬엑스가 제기한 많은 우려를 해결하기 위해서는 하드포크가 필요할 것이라고 한다.
그는 “소유권이 계약 구축업체에 의해 회수될 수 있는 것을 포기하는 것과 같은 다른 문제들을 다루면서, 우리는 결코 포기하지 않을 것이며 과거에 그 문제에 대한 우리의 입장을 분명히 했다”며, “내부적으로는 잘못된 가치 취급의 위험을 완화하기 위한 계약 운영 방식에 대한 정책과 절차가 있지만, 수수료나 최대 Tx를 수정하는 것은 결코 볼 수 없다”고 주장했다.
BSC 기반 프로젝트는 분산형 금융 프로토콜이 이더리움 네트워크에서 높은 트랜잭션 비용을 지속한 후 바이낸스 체인에 기반을 두려고 함에 따라 점점 더 많은 해킹과 악용의 희생자가 되고 있다.