KLAYswap Incident Report (Feb 03, 2022)
Contents
안녕하세요 클레이스왑 커뮤니티 여러분,
클레이스왑을 개발한 오지스는 사용자들의 신뢰와 더불어 프로덕트의 보안을 항상 최우선순위에 두고 있습니다. 아울러, 클레이튼 생태계의 대표 탈중앙화 금융 프로토콜로서 정기적인 보안 감사 및 보호 조치를 통해 안전성 증대에 심혈을 기울여 왔습니다.
하지만 금일 클레이스왑 프론트 엔드 소스 코드 및 스마트 컨트랙트 보안 이슈가 아닌 외부 사이트로부터의 SDK 파일 감염으로 인해 매우 안타까운 외부 공격이 발생하였습니다. 이로 인해 클레이스왑 사용자 여러분께 심려와 불편함을 끼쳐드린 점에 대해 진심으로 사과의 말씀을 드리며, 깊은 양해를 구합니다.
이번 포스팅에는 사고 발생 원인, 정상화를 위한 대응 방안, 사고 시점 사용자들을 위한 후속 사용 가이드 등 여러 상세한 내용들이 포함되며, 클레이스왑 팀이 고려하고 있는 보상 방안까지 말씀드리고자 합니다.
끝으로, 저희 팀은 금번 외부 공격의 특성 및 세부 방식을 커뮤니티에 공유해 드릴 것이며, 클레이튼 내에 또 다른 악용사례가 발생하지 않기를 바랍니다.
1. 사고 내용
2022년 2월 3일 11:31:41 경 (UTC+9) 82005544 block에서 클레이스왑 UI를 통해 토큰 관련 기능 실행 시 토큰이 특정 지갑으로 전송되는 트랜잭션이 최초로 실행되었습니다.
원인은 외부 네트워크망에 대한 …
클레이스왑을 개발한 오지스는 사용자들의 신뢰와 더불어 프로덕트의 보안을 항상 최우선순위에 두고 있습니다. 아울러, 클레이튼 생태계의 대표 탈중앙화 금융 프로토콜로서 정기적인 보안 감사 및 보호 조치를 통해 안전성 증대에 심혈을 기울여 왔습니다.
하지만 금일 클레이스왑 프론트 엔드 소스 코드 및 스마트 컨트랙트 보안 이슈가 아닌 외부 사이트로부터의 SDK 파일 감염으로 인해 매우 안타까운 외부 공격이 발생하였습니다. 이로 인해 클레이스왑 사용자 여러분께 심려와 불편함을 끼쳐드린 점에 대해 진심으로 사과의 말씀을 드리며, 깊은 양해를 구합니다.
이번 포스팅에는 사고 발생 원인, 정상화를 위한 대응 방안, 사고 시점 사용자들을 위한 후속 사용 가이드 등 여러 상세한 내용들이 포함되며, 클레이스왑 팀이 고려하고 있는 보상 방안까지 말씀드리고자 합니다.
끝으로, 저희 팀은 금번 외부 공격의 특성 및 세부 방식을 커뮤니티에 공유해 드릴 것이며, 클레이튼 내에 또 다른 악용사례가 발생하지 않기를 바랍니다.
1. 사고 내용
2022년 2월 3일 11:31:41 경 (UTC+9) 82005544 block에서 클레이스왑 UI를 통해 토큰 관련 기능 실행 시 토큰이 특정 지갑으로 전송되는 트랜잭션이 최초로 실행되었습니다.
원인은 외부 네트워크망에 대한 …