본문 바로가기
블록체인교육/블록체인보안

[블록체인] 스마트컨트랙트 취약성(불완전한 tx.orgin 취약점)

by Danny_Kim 2023. 8. 24.

🔑 코인 투자 추천 링크 🔑

  1. 비트코인, 알트코인 투자 노하우 모두 공개
  2. 무손실 스테이블 코인 예치 이자 비교
  3. 거래소 수수료 할인 및 파트너 독점 혜택 링크

 

소스

https://github.com/SunWeb3Sec/DeFiVulnLabs/blob/main/src/test/txorigin.sol

 

불완전한 tx.origin 취약점

tx.origin은 솔리디티의 전역변수로, 이 변수를 스마트계약에서 인증에 사용하면 계약이 피싱 공격에 취약해질 수 있음

 

시나리오

wallet은 소유자만 다른 주소로 이더를 전송할 수 있는 간단한 계약임

wallet.transfer()는 호출자가 소유자인지 확인하기 위해 tx.origin을 사용함

앨리스는 Attack.attack()안에 있는 Attack.attack()을 호출해서 트릭을 사용함

엘리스의 지갑에 있는 모든 자금을 이브의 주소로 전송하는 것을 요청함

wallet.transfer()에서 tx.orgin이 앨리스의 주소와 같았기 때문에 이전이 승인됨

지갑은 모든 이더를 이브에게 전송함.

 

개선방법

msg.sender 사용.

 

 

취약성 코드

 

테스트

 

참고문서

https://web3sec.notion.site/txorigin-phishing-cddd05811f414b45bcdfdb655c206b09

🔑 코인 투자 추천 링크 🔑

  1. 비트코인, 알트코인 투자 노하우 모두 공개
  2. 무손실 스테이블 코인 예치 이자 비교
  3. 거래소 수수료 할인 및 파트너 독점 혜택 링크

댓글