Tyojong

개요심각도 : High언어 : Solidity취약점 유형 : Missing Access Control이 리포트는 Subsquid 프로젝트에서 Pashov Audit Group이 발견한 tSQD의 registerTokenOnL2 함수에 접근 제어가 없어서 공격자가 브릿지 토큰을 손상시킬 수 있는 취약점에 대해 설명한다. tSQD 토큰을 Ethereum(L1)에서 Arbitrum(L2)로 브릿지 할 때, registerTokenOnL2 함수가 L2 토큰 주소 (12CustomTokenAddress)를 설정한다.이 함수에 접근 제어(권한 제한)가 없기 때문에 아무나 함수를 호출하여 임의의 L2 토큰 주소를 지정할 수 있다. 호출이 되면 gateway 내 L2 토큰 주소를 바꿀 수 없으므로, 브릿지 토큰이 영구..