큐빗 파이낸스 해킹 사건

$80M+도난 금액

8,510 ETH단일 최대 피해 규모

2022년 1월 28일해킹 발생일

$0반환된 자금

무슨 일이 일어났는가

2022년 1월 28일, 큐빗 파이낸스의 QBridge(이더리움과 바이낸스 스마트 체인 간 크로스체인 브릿지)가 익스플로잇 공격을 당했습니다. 공격자는 이더리움에 실제 ETH를 예치하지 않고도 BSC에서 무제한의 qXETH 토큰을 발행한 뒤, 이를 담보로 약 8천만 달러 상당의 암호화폐 자산을 대출받았습니다.

이 익스플로잇은 치명적인 취약점에서 비롯되었습니다. deposit 함수와 depositETH 함수가 동일한 이벤트를 발생시켰으며, 영주소(제로 어드레스, EOA)에 대해 safeTransferFrom을 호출하면 리버트 없이 자동으로 성공했습니다. 브릿지의 릴레이어는 해당 이벤트를 감지하고 BSC에서 토큰 발행을 승인했습니다.

기술 분석

익스플로잇의 상세 분석, EOA 제로 어드레스 기법, 코드 취약점을 다룹니다. 더 보기 →

자금 흐름

도난된 8천만 달러의 행방을 추적합니다. 해커 지갑 주소 및 블록체인 탐색기 링크를 제공합니다. 더 보기 →

운영 법인

마운드 주식회사(Mound Inc.) — 큐빗 파이낸스를 운영한 기업. 법인 구조, 주요 인물, 등기 정보를 정리했습니다. 더 보기 →

제보하기

해커 또는 도난 자금에 대한 정보가 있으신가요? 여기에서 제보해 주세요. 정보 제보 →