2022-02-07 Mon

Created: February 7, 2022 11:26 AM

1. KLAYswap 암호화폐 탈취

Reference: https://zdnet.co.kr/view/?no=20220206184952

2022년 2월 3일 11:31:41 경 클레이스왑 UI를 통해 토큰 관련 기능 실행 시 토큰이 특정 지갑으로 전송되는 트랜잭션이 최초로 실행되었다. 해당 사고로 공격자는 총 22억 상당의 코인을 탈취했다. 암호화폐를 노린 공격자에 의해 카카오 서버로 가야할 트래픽을 하이재킹하여 공격자 서버로 보낸 후 악성코드를 심어 공격했다고 한다.

공격이 발생했던 동시간대에 카카오 sdk를 사용하는 다른 서비스들도 장애가 발생했다. 이번 사고는 BGP 하이재킹을 사용하여 진행이 된것으로 확인되었는데, 이것은 BGP가 기본적으로 AS 에서 제공하는 라우팅 정보를 신뢰하기 때문에 발생한다. 공격자는 이를 이용해 라우팅 테이블을 조작하여 정상적인 카카오 서버가 아닌 공격자의 서버로 요청을 넘겨 악성코드를 심었다고 한다.

이 과정에서 공격자가 특정 ISP 에서 사용하는 IP에 대해 공격을 수행하면서 카카오 sdk를 사용하는 다른 서비스들에서도 장애가 난 것으로 보인다.

2. Google Tensorflow integer overflow

Reference: https://github.com/tensorflow/tensorflow/commit/0aaaae6eca5a7175a193696383f582f53adab23f

tensorflow/core/grappler/costs/op_level_cost_estimator.cc 에서 crop parameter 가 사용자에 의해 조작이 가능한 인자로 이로 인해 integer overflow가 발생할 수 있다.

    // Ops for variables height_scale and width_scale.
  int64_t ops = (sub_cost * 6 + mul_cost * 2 + div_cost * 2) * num_boxes;

  // Ops for variable in_y.
  ops += (mul_cost * 2 + sub_cost + add_cost) * crop_height * num_boxes;

  // Ops for variable in_x (same computation across both branches).
  ops += (mul_cost * 2 + sub_cost + add_cost) * crop_height * crop_width *
         num_boxes;
  // Specify op_cost based on the method.
  if (use_bilinear_interp) {
    // Ops for variables top_y_index, bottom_y_index, y_lerp.
    ops += (floor_cost + ceil_cost + sub_cost) * crop_height * num_boxes;
    // Ops for variables left_x, right_x, x_lerp;
    ops += (floor_cost + ceil_cost + sub_cost) * crop_height * crop_width *
           num_boxes;
    // Ops for innermost loop across depth.
    ops +=
        (cast_to_float_cost * 4 + add_cost * 3 + sub_cost * 3 + mul_cost * 3) *
        output_elements;
  } else /* method == "nearest" */ {
    // Ops for variables closest_x_index and closest_y_index.
    ops += round_cost * 2 * crop_height * crop_width * num_boxes;
    // Ops for innermost loop across depth.
    ops += cast_to_float_cost * output_elements;
  }

crop_height 와 crop_width 는 사용자가 조작이 가능한 인자이며 해당 인자로 연산을 수행하였을 때 integer overflow가 발생 가능하다.