본문 바로가기
블록체인교육/블록체인보안

[블록체인 보안] 스마트컨트랙트 취약성 hidden backdoor

by Danny_Kim 2023. 8. 24.

🔑 코인 투자 추천 링크 🔑

  1. 비트코인, 알트코인 투자 노하우 모두 공개
  2. 무손실 스테이블 코인 예치 이자 비교
  3. 거래소 수수료 할인 및 파트너 독점 혜택 링크

소스파일

https://github.com/SunWeb3Sec/DeFiVulnLabs/blob/main/src/test/Backdoor-assembly.sol

 

  • 이 계약은 표면적으로 공정한 ‘LotteryGame’이라고 생각할수 있음
  • 실제 계약 배포자, 관리자에게 특권이 부여되어 있음
  • 어셈블리 레벨의 스토리지 변수 접근을 통해서 달성됨
  • referee function은 관리적인 백도어를 제공하도록 설계됨
  • pickWinner 함수는 무작위로 당첨자를 선택하는 것처럼 보이지만 실제로는 관리자가 당첨자를 설정할 수 있게 해줌
  • 결국 일반적인 접근제어를 우회하며 무단 사용자가 상금 풀을 인출하는데 사용할 수 있는 러그풀(rug pull)의 한 유형임.
  • 공격자는 인라인 어셈블리 작성하여 백도어로 스마트계약을 조작할수 있음
  • 어떤 매개변수든지 언제든 변경할 수 있음.

 

- 테스트 소스

- 테스트

 

참고문서

https://web3sec.notion.site/Hidden-Backdoor-in-Contract-a62b42babd0a4dc5b53c04021a004f07

🔑 코인 투자 추천 링크 🔑

  1. 비트코인, 알트코인 투자 노하우 모두 공개
  2. 무손실 스테이블 코인 예치 이자 비교
  3. 거래소 수수료 할인 및 파트너 독점 혜택 링크

댓글