본문 바로가기
블록체인교육/블록체인보안

[블록체인 보안] 자금 탈취 공격 (approval scam)

by Danny_Kim 2023. 8. 24.

🔑 코인 투자 추천 링크 🔑

  1. 비트코인, 알트코인 투자 노하우 모두 공개
  2. OKX 거래소 - 20% 수수료 할인
  3. 플립스터 거래소 - USDT 15% 이자
  4. 해시키 거래소 - HSK 에어드랍

지나친 승인(Over-Permissive) 스캠

 

이 취약점은 ERC20 토큰의 승인 프로세스와 관련 있음

이 시나리오에서 앨리스는 이브가 앨리스의 계정에서 무제한(type(uint256).max) 수량의 토큰을 전송할 수 있도록 승인함.

향후에 이브는 이 승인을 악용하여 엘리스의 계정에서 1000개의 토큰을 자신의 계정으로 전송함

대부분의 현재 사기는 승인(approve) 또는 setApprovelForAll 사용하여 전송권한을 남용함

 

테스트소스

https://github.com/SunWeb3Sec/DeFiVulnLabs/blob/main/src/test/ApproveScam.sol

 

공격코드

 

테스트

 

참고문서

https://web3sec.notion.site/Approval-scam-4f1f711b624b444bb064ebb0c8636f46

 

저작자표시 비영리 변경금지

🔑 코인 투자 추천 링크 🔑

  1. 비트코인, 알트코인 투자 노하우 모두 공개
  2. OKX 거래소 - 20% 수수료 할인
  3. 플립스터 거래소 - USDT 15% 이자
  4. 해시키 거래소 - HSK 에어드랍

관련 컨텐츠

댓글

티스토리툴바