2022년 세 번째 FEG 토큰 해킹으로 사용자 자금 99% 손실

FEG(Feed Every Gorilla) 토큰의 "SmartBridge"를 악용한 것으로 의심되는 공격으로 인해 해커가 수익금을 매각한 후 일요일 보유자가 99% 하락했습니다.

A suspected exploit of the Feed Every Gorilla (FEG) token’s “SmartBridge” left holders down 99% on Sunday, after the hacker sold off the proceeds into existing liquidity.

FEG(Feed Every Gorilla) 토큰의 "SmartBridge"를 악용한 것으로 의심되는 사건으로 인해 해커가 수익금을 기존 유동성에 매각한 후 일요일 보유자가 99% 하락했습니다.

In what must feel like a depressingly familiar series of events, this attack is the third to hit the project following two separate incidents in 2022.

우울할 정도로 친숙한 일련의 사건처럼 느껴져야 하는 이 공격은 2022년에 발생한 두 건의 개별 사건에 이어 프로젝트를 강타한 세 번째 공격입니다.

Looks like @FEGtoken has been hacked. Price has dropped by 99%. As I can see, exploiter's profit is at least:712 $BNB on BSC73 $ETH on Base96 $ETH on EthereumFunds have been transfered to #TornadoCash. Total profit is over 1,070,000$. Protocol paused by team 🫣 pic.twitter.com/gGEHBurtif

@FEGtoken이 해킹된 것 같습니다. 가격이 99% 하락했습니다. 내가 볼 수 있듯이, 착취자의 이익은 최소: BSC73의 $BNB 712 Base96의 $ETH EthereumFunds의 $ETH가 #TornadoCash로 이체되었습니다. 총 이익은 1,070,000$ 이상입니다. 팀에 의해 프로토콜이 일시 중지되었습니다 🫣 pic.twitter.com/gGEHBurtif

Read more: Are North Korean hackers liquidated on HyperLiquid planning something?

더 읽어보기: HyperLiquid에서 청산된 북한 해커들이 뭔가 계획을 세우고 있는 걸까요?

The project’s response to the “Irregular Transactions” acknowledged its users’ frustration, which were shared by the team. It initially suspected “a vulnerability in the wormhole bridge, which had previously undergone an audit” by Peckshield (which claims to have identified the root cause, but is yet to comment officially).

"불규칙한 거래"에 대한 프로젝트의 대응은 사용자의 불만을 인정했으며 팀도 이를 공유했습니다. 처음에는 Peckshield(근본 원인을 식별했다고 주장하지만 아직 공식적으로 논평하지 않음)의 "이전에 감사를 받은 웜홀 브리지의 취약점"을 의심했습니다.

In the meantime, crypto security and auditing firm BlockSec conducted its own analysis of the hack, finding that “only the relayer can register withdrawal in the SmartBridge. However, when receiving a wormhole bridge message, the relayer doesn’t check if the source address is allowed to trigger the withdrawal registration.”

한편, 암호화폐 보안 및 감사업체인 블록시크(BlockSec)는 자체 해킹 분석을 통해 “중계자만이 스마트브릿지에서 출금을 등록할 수 있다”고 밝혔다. 하지만 웜홀 브릿지 메시지를 수신하면 중계자는 해당 소스 주소가 출금 등록을 촉발할 수 있는지 확인하지 않습니다.”

The hacker was then able to craft a malicious bridge message on one chain, fraudulently withdraw large amounts of FEG on the destination chain, and swap it for the existing liquidity. The same three steps were followed on each chain.

그런 다음 해커는 한 체인에서 악의적인 브리지 메시지를 작성하고 대상 체인에서 대량의 FEG를 사기적으로 인출하여 기존 유동성으로 교환할 수 있었습니다. 각 체인에서 동일한 세 단계를 따랐습니다.

The FEG token ties together the project’s “SmartDeFi” token launchpads on ETH, Base and BNB Chain. According to Cyvers, the attacker made over $1 million dumping the tokens: 96 ETH, 73 ETH and 712 BNB profit on each chain, respectively.

FEG 토큰은 ETH, Base 및 BNB 체인에서 프로젝트의 "SmartDeFi" 토큰 런치패드를 함께 연결합니다. Cyvers에 따르면 공격자는 토큰을 덤핑하여 100만 달러 이상을 벌었습니다. 즉, 각 체인에서 각각 96 ETH, 73 ETH 및 712 BNB 이익을 얻었습니다.

Many voiced their frustrations and disbelief via X despite replies to the team’s statement being disabled. Users remarked on the loss of credibility, a lack of surprise, feeling “trapped,” and even suggesting the events may have been inside jobs.

많은 사람들이 팀의 성명서에 대한 답변이 비활성화되었음에도 불구하고 X를 통해 좌절감과 불신을 표명했습니다. 사용자들은 신뢰성 상실, 놀라움 부족, "갇힌 듯한" 느낌, 심지어 해당 사건이 직장 내에서 일어났을 수도 있다고 암시하기도 했습니다.

Some did show support, however, pointing to the team’s “proactive approach” and taking comfort in FEG’s “real-world utility,” while dismissing security concerns as “woke.”

그러나 일부는 팀의 "선제적 접근 방식"을 지적하고 FEG의 "실제 유용성"을 위안하는 동시에 보안 우려가 "깨어났다"고 일축하며 지지를 표명했습니다.

This isn’t FEG’s first rodeo

FEG의 첫 로데오가 아니다

May 2022 saw the project lose $1.3 million to a flash loan attack which also exploited a data validation issue to drain FEG tokens. Despite “respectfully request[ing]” the return of stolen funds, they were laundered via Tornado Cash a few days later.

2022년 5월 프로젝트는 FEG 토큰을 소모하기 위해 데이터 검증 문제를 악용한 플래시 대출 공격으로 인해 130만 달러의 손실을 입었습니다. 도난당한 자금의 반환을 "정중하게 요청"했음에도 불구하고 며칠 후 Tornado Cash를 통해 세탁되었습니다.

The FEG team would like to keep the community updated on what had transpired on May 15, 2022 at approximately 8:20 PM (UTC). There was an exploit in the Swap-to-Swap (S2S) functionality within the FEGtoken swap contracts on BSC and ETH.(1/7)

FEG 팀은 2022년 5월 15일 대략 오후 8시 20분(UTC)에 발생한 일에 대해 커뮤니티에 계속 업데이트하고 싶습니다. BSC 및 ETH의 FEGtoken 스왑 계약 내 S2S(Swap-to-Swap) 기능에 익스플로잇이 있었습니다.(1/7)

Read more: DeFi project Delta Prime hacked again — months after private key leak

더 읽어보기: DeFi 프로젝트 Delta Prime이 개인 키 유출 후 몇 달 만에 다시 해킹당했습니다.

After such a blow, FEG opted to use a third-party solution, locking its token’s liquidity with Team Finance to inspire confidence that users’ money would remain safe.

이러한 타격 이후 FEG는 사용자의 돈이 안전하게 유지될 것이라는 확신을 심어주기 위해 Team Finance를 통해 토큰의 유동성을 잠그는 제3자 솔루션을 사용하기로 결정했습니다.

But in October of that same year, the token suffered a loss of almost $2 million when four of these “bulletproof” liquidity locks were exploited due to a fault in the migration system to move liquidity from Uniswap v2 and v3. The incident saw a total of over $15 million lost between the affected teams, though most funds were later returned.

그러나 같은 해 10월 Uniswap v2 및 v3에서 유동성을 이동하기 위한 마이그레이션 시스템의 결함으로 인해 이러한 "방탄" 유동성 잠금 중 4개가 악용되면서 토큰은 거의 200만 달러의 손실을 입었습니다. 이 사건으로 인해 영향을 받은 팀 간에 총 1,500만 달러 이상의 손실이 발생했지만 대부분의 자금은 나중에 반환되었습니다.