|
시장 뉴스 암호화폐, DeFi 해킹 4월 증가 – 계약 악용, MEV 봇 유출, 오일러 및 스시 상환 업데이트
출처 securities 저자 샘 그랜트 소스:EK 이페어케이 플러스
거래에는 자본 손실을 초래할 수 있는 위험이 수반됩니다.
펙쉴드(PeckShield)는 목요일 초 비수탁 머니 마켓 프로토콜인 에이브(Aave)와 디파이(DeFi) 수확량 농업 플랫폼인 Yearn Finance가 익스플로잇의 영향을 받았다고 보도했다. 블록체인 보안 팀은 잘못 구성된 yUSDT가 손상으로 이어져 악의적인 행위자가 $10K USDT에서 상당한 양의 yUSDT를 발행할 수 있다고 가정했습니다.
최근 DeFi 해킹 사건에 연루된 금융
PeckShield가 공유한 초기 평가에 따르면 무한 발행을 위해 '잘못 구성된' 취약점을 악용한 개인/팀은 최대 11,1만 달러 상당의 다이(DAI), 테더(USDT), USD 코인(USDC), 바이낸스 USD(BUSD) 및 트루 USD(TUSD) 토큰을 현금화했습니다. Aave 통합 리드 Marc Zeller의 트윗 업데이트는 사건을 확인하면서 22월 <>일 이후 동결된 프로토콜 버전 <>만 영향을 받았다고 밝혔습니다. Yearn Finance의 팀은 또한 별도의 게시물에서 사건을 알고 있음을 사용자에게 알렸다.
"우리는 Vaults v1 및 v2 이전의 오래된 계약인 iearn과 관련된 문제를 조사하고 있습니다. 이 문제는 iearn에만 국한된 것으로 보이며 현재 Yearn 계약 또는 프로토콜에는 영향을 미치지 않습니다. iearn은 YFI 이전의 불변 계약이며 2020년에 더 이상 사용되지 않습니다. 업그레이드 가능한 전략이 있는 Vaults v1도 2021년에 더 이상 사용되지 않습니다. 영향을 받았다는 표시는 없습니다. 현재 버전 v2 자격 증명 모음도 영향을 받지 않습니다."
현저하게도 플래시 론 익스플로잇은 예상치 못한 결과를 초래했습니다 – Aave 사용자의 USDT 상환, 온체인 기록에 따르면 Otter Sec 및 Aave와 관련된 다른 팀과 같은 여러 보안 기관이 공격을 무너뜨리기 위해 참여했습니다. DeFi 추적 플랫폼 Nansen은 배우가 세 개의 주소로 운반을 보냈다고 언급했습니다. 온체인 데이터에 따르면 악용자는 도난당한 토큰의 상당 부분을 차지하는 1000개의 ETH 코인을 Tornado Cash에 예치하여 자신의 흔적을 덮을 수 있습니다. 두 번째 지갑은 4만 DAI와 7만 USDC 스테이블 코인 이상을 받았습니다. Yearn Finance 대출 플랫폼에 대한 익스플로잇은 올해까지 탈중앙화 금융(DeFi) 공간에서 보고된 일련의 유사한 사건을 따릅니다.
해커와 사기꾼은 452분기에 투자자들에게 $1M을 훔쳤고 회수율은 29%였습니다.
블록체인 데이터 제공업체인 체이널리시스(Chainalysis)는 이전에 DeFi 틈새 시장의 해킹이 82년 암호화폐 부문에서 발생한 3억 달러 손실 중 8%를 차지했다고 보고했습니다. 이에 대한 최근 업데이트에서 바이러스 백신 및 앱 제공업체 De.Fi 사이버 범죄자들이 방금 끝난 분기에 2022억 452,1만 달러를 약탈했다고 관찰했습니다. 이 금액은 엄청나지만 작년 같은 기간의 3억 달러 손실에서 크게 하락한 것입니다. 후자의 보고서는 또한 1 분기 손실의 거의 절반이 13 월 첫 197 주에 발생했으며 <> 월 <> 일 오일러 파이낸스에 대한 플래시 론 공격으로 분기에서 가장 높은 손실 인 <> 억 <>,<> 만 달러를 초래했다고 강조했습니다.
블록체인 기반 플랫폼 BonqDAO와 AllianceBlock의 듀오는 120월 초 스마트 계약 해킹을 당해 45억 16천만 달러의 손실을 입었습니다. 한편, CoinDeal 투자자에 대한 5,8 만 달러의 사기, Monkey Drainer의 5,<> 만 달러의 피싱 공격, 오리너구리 금융에 대한 <> 만 달러의 플래시 론 공격은 분기의 상위 <> 개 주요 익스플로잇 목록을 마무리했습니다.
FOMO로 초보자를 대상으로 위반
유병률 측면에서 스마트 계약 익스플로잇은 가장 일반적인 공격 유형으로, 17건의 사고를 차지했으며 200건의 러그 풀 보고 사례가 그 뒤를 이었습니다. 플래시 대출 악용은 여전히 만연하여 해당 기간 동안 <>억 달러의 손실에 기여했습니다. De.Fi 또한 공격 벡터에 관한 한 토큰이 악의적인 행위자에게 선호되는 선택이라는 것이 분명하다는 것을 대략적으로 파악했습니다.
차입과 대출은 주요 목표였기 때문에 336건의 사건에 불과했지만 순손실은 총 18억 130,40만 달러에 달했습니다. BNB는 체인 중 가장 큰 희생자였으며 1 건의 공격의 대상이되었습니다. 회수 시 도난당한 자금 중 29억 <>천만 달러가 피해자에게 반환되었지만 여전히 작년 같은 기간의 회수율이 감소하여 <>억 <>천만 달러의 <>%를 차지했습니다.
세이프문 버그 관련 익스플로잇
한 고립된 사건에서 SafeMoon 플랫폼은 최근 배송된 업그레이드에 포함된 공개 화상 기능을 통해 손상되었다고 합니다. 공격자는 이 버그 중심의 허점을 이용하여 손상된 SFM WBNB 유동성 풀에서 최대 000,<>개의 BNB 코인을 훔쳤습니다. 착취자는 "이봐, 진정해, 우리는 실수로 당신에 대한 공격을 앞두고 있으며, 자금을 반환하고 안전한 통신 채널을 설정하고 이야기합시다" 라는 메시지를 남겼습니다. SafeMoon은 지난주 트윗을 통해 플랫폼에서 거래가 재개되었다고 밝혔습니다.
5월 <>일 업데이트는 또한 일부 토큰노믹스 개선 사항을 설명하고 업그레이드된 SWaP 인터페이스가 배포되었음을 전달했습니다.
"우리는 LP 자금의 회수를 위해 계속 노력하고 있습니다 [...] 우리는 큰 진전을 이루었고 모든 사용자를 위해 평소와 같이 비즈니스로 돌아 가기 위해 계속 열심히 노력하고 있습니다." 라고 SafeMoon은 이번 주 가장 최근 커뮤니케이션에서 말했습니다.
4월 DeFi 보안 침해
이달 초, 멀티 체인 브리지 Allbridge는 2 월 <> 일에 공격을 받았습니다. 해커는 유동성 공급 및 스왑 기술을 사용하여 풀 가격을 높이고 자금을 훔쳤습니다. 이는 유동성 공급자이자 스왑퍼 역할을 통해 Allbridge의 BNB 체인 풀 스왑 가격을 조작할 수 있었기 때문에 가능했습니다.
크로스체인 프로토콜 Allbridge 악용
스마트 계약 감사인 CertiK는 크로스 체인 프로토콜이 549,874 달러의 손실을 입었다 고보고했습니다. 반면 블록체인 보안 회사인 펙쉴드(PeckShield)는 총 573,000달러(282,889달러 상당의 BUSD, 290,868달러 상당의 USDT)가 악용된 것으로 추정했습니다. 당시 Allbridge는 파트너 및 커뮤니티와 협력하여 소셜 네트워크에서 해커를 추적하고 책임을 묻고 있다고 말했습니다. 이 프로토콜은 해커가 훔친 자금을 복원하도록 장려하기 위해 화이트 햇으로 나왔을 때 현상금과 법적 면제를 제공했습니다.
1,500 BNB 반환
해커는 옵션을 선택하여 1,500 BNB ($ 465,000)를 반환했으며, 이는 영향을받는 개인을 해결하기 위해 BUSD로 전환되었으며 나머지 도난당한 현금은 화이트 햇 현상금으로 남겨졌습니다. 올브릿지 팀은 또한 두 번째 공격자가 동일한 기술을 사용하여 아직 합의에 대해 논의하지 않은 자금을 빼냈다고 언급했습니다 - 올브리지는 이 악용 혐의자의 지갑 주소를 공유했으며 잔액은 0.97 BNB, 302.5달러에 달했습니다. 화요일에 Allbridge는 트윗에서 9월 <>일 현재 제출된 제출 배치에 대한 <>차 복구 지불을 완료했다고 공유하면서 보류 중인 문제가 있는 사람들에게 악용 보상 프로세스를 따를 것을 촉구했습니다.
SushiSwap 익스플로잇의 여파
또 다른 사건에서 블록체인 보안 및 정보 회사인 펙쉴드(PeckShield)는 일요일 일찍 스시스왑이 악용되어 트위터 사용자 oxSifu라는 한 개인이 약 3만 달러의 손실을 입었다고 보고했습니다. 보안 회사와 스시스왑 수석 셰프 자레드 그레이(Jared Grey)는 모두 영향을 받은 사람들에게 모든 체인에서 취소를 요청했습니다. 또한이 공격은 지난 3 일 이내에 DEX를 사용한 사람들에게 영향을 미쳤습니다. 이 익스플로잇은 거래 라우팅을 용이하게 하는 SushiSwap의 'RouterProcessor2' 계약에 영향을 미쳤습니다. PeckShield에 따르면 버그는 '승인'메커니즘과 관련이 있습니다.
'승인 관련' 버그로 인해 일부 SushiSwap 사용자가 부족합니다.'
이 잘못된 계약을 승인한 사용자는 실수로 익스플로잇자가 소유자의 승인을 받지 않고 사용자 토큰을 종료하도록 허용했습니다. 블록 리서치(The Block Research)의 분석가인 브래드 케이(Brad Kay)에 따르면, 화이트 햇 해커로 보이는 초기 공격자는 '요잉크' 기능을 활용하여 100 ETH에 대한 스시스왑 라우터 계약을 악용했으며, 그 후 두 번째 개인이 동일한 계약을 이용하여 이번에는 "notyoink" 기능을 사용하여 약 1800 ETH를 훔쳤습니다.
복구 노력
그레이는 업데이트에서 oxSifu의 손실 자산 중 300 ETH가 회수되었으며 700 이더를 초과하는 또 다른 자산을 회수할 계획이라고 확인했습니다.
스시스왑의 CTO인 매튜 릴리(Matthew Lilley)는 또한 여러 구조 노력이 계속되고 있다고 업데이트하고 사용자에게 승인을 다시 확인하고 토큰에 허용될 수 있는 악성 주소를 스캔하고 비승인할 것을 촉구했습니다. 그럼에도 불구하고 그는 RouterProcessor2에 대한 노출이 프런트 엔드에서 차단되어 유동성 공급자와 스왑 활동이 안전하기 때문에 Sushi Protocol을 사용하는 것이 안전하다고 사용자에게 확신했습니다.
온전해진 피해자들
스시 책임자는 Discord에서 팀이 프로토콜의 Merkle Distributor 계약에서 기득권 토큰에 대한 청구 웹사이트를 시작할 계획이라고 말했습니다. 이 사이트는 <>일 청구 만료일까지 운영되며, 그 이후에는 청구되지 않은 SUSHI 토큰이 SushiSwap의 재무부로 전송됩니다. 수요일에 공유된 이후 업데이트에서 이더리움 기반 탈중앙화 거래소는 영향을 받는 청구인을 반환할 계획이라고 밝혔습니다.
"귀하의 자금이 화이트햇 계약에 남아 있다면 보안 전문가가 귀하의 자금을 수집했다는 의미이며 안전하며 곧 청구할 수 있을 것입니다. 귀하의 자금이 화이트햇 계약에 없는 경우 Discord에 이메일 또는 오픈 티켓을 제출하고 손실된 자금에 대한 거래 ID 및 블록체인 데이터를 포함해야 합니다. 블랙햇 펀드는 팀이 주장을 검증하는 온체인 데이터에 대해 합법성을 수동으로 확인한 다음 그에 따라 지불해야 하기 때문에 처리하는 데 시간이 더 오래 걸릴 것입니다." 라고 SushiSwap은 트윗했습니다.
이더리움 MEV 봇 공격
또 다른 사건으로, 이더리움 MEV 봇 익스플로잇에 이어 불량 검증자가 $25M을 훔쳤습니다. 차익 거래자와 거래자가 수익 기회를 최적화하는 데 도움이 되는 여러 이더리움 최대 추출 가능 가치(MEV) 봇은 악성 검증자에게 <>,<>만 달러의 손실을 초래한 복잡한 공격의 희생자였습니다.
여기 일어난 일이 있습니다
CertiK는 토큰을 획득하려는 거래자를 발견하고 이익을 얻기 위해 거래 사이에 끼어드는 샌드위치 거래를 실행하면서 6964664개의 MEV 거래가 표적이 되었다고 설명했습니다. <> 이러한 모든 이벤트가 단일 이더리움 블록 내에서 발생함에 따라 CertiK은 샌드위치 거래가 몇 개의 토큰으로 시작되었으며 수백만 달러를 스왑할 때쯤에는 불량 검증자가 역 거래를 대체하고 있다고 언급했습니다.
총 25,39만 달러가 잘못된 손에 들어갔고 보안 회사가 게시한 분석에 따르면 64.9 WBTC, 7,460.8 WETH, 5,297,649.9 USDC, 3,027,396 USDT 및 1,698,384 DAI가 표시됩니다. 이 글을 쓰는 시점에서 자금은 대부분 세 개의 지갑에 보관되어 있습니다. CertiK는 이를 역대 최대 규모의 MEV 봇 익스플로잇 중 하나라고 불렀으며, 마지막 주요 해킹은 2022년 800월에 봇 취약점으로 인해 MEV 차익 거래 이익의 <> ETH가 도난당했습니다.
동시에 블록체인 감사관인 OtterSec은 공격자가 2주 전에 지갑을 미리 로드했다는 점을 감안할 때 이를 계획된 공격이라고 불렀습니다. CertiK는 봇이 노드 검증자를 악성으로 식별하지 못했다고 판단하고 악용된 약점을 검증자 간의 권한 중앙 집중화에 고정했습니다.
Flashbots는 기능 수정을 구현했습니다.
이더리움의 주요 MEV 프로그램인 MEV-Boost의 창시자인 Flashbots는 이후 유사한 문제가 반복되지 않도록 조치를 취했습니다. 팀은 릴레이어(블록 빌더와 검증자 사이의 신뢰할 수 있는 중개자 역할)가 블록에 서명하고 제안자에게 전달되기 전에 비콘 체인에 게시하도록 요구하는 새로운 기능을 구현했습니다. 이 단계는 이전에 누락 된 단계였으며 이제 제안자가 수신 된 릴레이 내용에서 벗어날 가능성을 줄이는 데 도움이 될 수 있습니다. 게다가 CertiK은 CoinTelegraph에 다른 MEV 검색자들이 샌드위치 거래를 포함한 비원자성 전략에 참여하는 것을 꺼릴 수 있다고 말했습니다.
MEV 익스플로잇과 연결된 테더 블랙리스트
이번 주 스테이블코인 발행사인 테더(Tether)는 10월 3일 트윗을 통해 최근 MEV 익스플로잇과 관련된 주소 '샌드위치 더 리퍼(Sandwich the Ripper)'를 차단했다고 밝혔다. 테더 주소에는 14만 달러의 USDT가 있었으며 더 이상 이동할 수 없습니다. 익스플로잇은 3,3만 달러의 랩트 이더리움(WETH)과 6만 달러 이상의 기타 자산을 포함하여 더 많은 금액을 보유하고 있습니다.
테더는 선의의 이익과 합리적인 근거에 따라 행동한 것으로 보입니다. 그럼에도 불구하고 이 결정은 이러한 움직임이 암호화폐 공간에서 "나쁜 선례"를 세웠다고 믿는 종파들로부터 비판을 받았습니다. 테더의 블록리스트 조치는 거래에 대한 검열로 해석될 수 있으며, 이는 스테이블코인 발행자의 중앙 집중식 권한을 의미합니다. 비판자들은 잠재적인 권력 남용과 DeFi 틈새 시장에 미치는 영향에 대한 우려를 지적했습니다.
오일러는 도난당한 모든 자금의 반환을 협상 한 후 상환을 시작합니다.
오일러 파이낸스(Euler Finance)는 지난달 도난당한 197억 1,10만 달러 상당의 암호화폐에 대한 협상 후 최종 상환금을 받았다고 밝혔다. 프로토콜은 회수 가능한 모든 자금이 복원되어 해킹에 대한 정보에 대한 580만 달러의 보상 프로그램을 효과적으로 종료했다고 밝혔습니다. 블록체인 분석 회사인 아캄 인텔리전스(Arkham Intelligence)는 월요일에 무허가 대출 프로토콜이 19,12만 달러 상당의 <>,<> ETH를 받았고 <>건의 거래에 걸쳐 <>,<>만 달러의 DAI를 추가로 받았다고 확인했습니다.
사건 이후, 오일러는 절도에 책임이 있는 범인에게 7,10만 달러(도난 금액의 1%에 해당)의 보상을 제안했습니다. 또한 도난당한 자금의 나머지 90%가 반환되지 않으면 공격자에 대한 정보를 제공한 사람에게 1만 달러의 보상이 주어질 것이라고 경고했습니다. 처음에는 Tornado Cash를 통해 8만 달러를 세탁했지만 공격자는 18월 1일부터 8만 달러부터 돈을 돌려주기 시작했습니다. 익스플로잇은 계속해서 돈을 보냈고, 가장 큰 수익은 102억 24만 달러 상당의 <>,<> ETH의 일시금이었습니다.
작성 당시 총 95,556 ETH와 43,1만 DAI가 회수되었으며 총 100,177 ETH는 승인된 코인 믹서로 보내져 회수 불가능한 것으로 간주되었습니다. 이런 와중에 해커는 약 90주일 전 일련의 온체인 메시지에서 사과하고 남은 자금을 모두 포기하겠다고 약속했습니다. 월요일에 다시 이체된 토큰은 해킹에서 회수된 총 자금이 10억 <>,<>만 달러 이상에 이르렀습니다. 이는 오일러 팀이 제공 한 <> %의 현상금을 고려한 후 예상 회수 가능한 자금의 <> %를 차지합니다.
이더리움 기반의 비수탁 대출 프로토콜은 이후 사용자가 회수된 자금을 상환할 수 있도록 허용하여 모든 종류의 혼란을 수반하는 플래시 대출 익스플로잇을 종식시켰다고 밝혔습니다. 해킹으로 인한 손실에 대해 2만 달러의 청구를 지불한 DeFi 보험사 Nexus Mutual은 오일러에게 환불을 요구했습니다. 넥서스는 오일러를 지원한 것으로 알려졌지만, 자금 반환으로 자산을 잃은 사용자는 기술적으로 없었다.
보고된 기타 보안 위반 사건
메타버스 프로젝트인 메타포인트(MetaPoint)는 이번 주에 2,515개의 BNB를 훔친 공격자에 의해 악용되었다고 보고했습니다. 해커는 자금을 Tornado Cash로 보냈다고 PeckShield는 말했습니다. 메타버스 프로젝트는 텔레그램을 통해 사건을 확인했으며 모든 운영을 중단했다고 덧붙였다.
테라포트 파이낸스(Terraport Finance)도 출시 10주 만에 보안 침해의 피해자가 된 것으로 보인다. 2월 <>일에 나온 보고서에 따르면 프로토콜의 유동성 지갑이 <>만 달러에 해킹당했다고 자세히 설명되어 있습니다. Terraport는 공유된 업데이트에서 사건을 알고 있으며 플랫폼을 확보한 후 발행자를 조사하려고 한다고 말했습니다.
디파이 밖에서 이번 주 한국의 암호화폐 거래소 GDAC는 거의 14,20만 달러에 달하는 해킹을 당했다고 밝혔다. 거래소는 필요한 시정을 수행하기 위해 입출금을 일시적으로 중단했다고 한승환 대표는 손실된 자금이 전체 보관 자산의 9%를 약간 넘는다고 확인하면서 말했다. 해커는 61월 350일(한국 표준시) 초에 거래소의 핫 월렛 중 일부를 장악한 후 자금을 그들이 제어하는 지갑으로 옮긴 것으로 알려졌습니다. GDAC는 약 5 BTC, 220.000 ETH, 10,<> USDT 및 <>,<>만 WEMIX 게임 통화를 잃었습니다.
인출 서비스는 계속 사용할 수 없습니다: Seunghwan은 거래소가 동일한 조사에 전념하고 있으며 현재 비활성화된 서비스의 재개를 허용할 계획을 수립하지 않았다고 말했습니다. GDAC 공격은 지난 15월 Crypto.com 가 <>,<>만 달러 이상의 해킹을 당한 이후 <>개월이 조금 넘은 올해 첫 번째 주요 중앙 집중식 암호화폐 거래소 해킹입니다.
Huobi와 Gala Games는 pGALA 사건의 영향을 받은 당사자들에게 보상하기 위해 $50M을 약속했습니다.
갈라 게임즈(Gala Games)와 암호화폐 거래소 후오비 글로벌(Huobi Global)이 최근 웹3 생태계를 강화하기 위해 협력한 데 이어, 갈라 게임즈는 지난 50월 플랫폼에서 유틸리티 토큰 사기로 손실을 입은 GALA 토큰 보유자에게 최대 <>천만 달러 상당의 암호화폐 및 소프트웨어 라이선스를 배포할 계획을 발표했습니다.
두 사람은 지급될 50,25만 달러 상당의 보상금을 균등하게 분할할 예정이며, 후오비의 지분은 15,10만 달러가 될 것이며, 이는 25,<>만 USDT와 <>,<>만 주식을 차지하는 현금 및 사용자 혜택으로 구성됩니다. 한편, 갈라게임즈는 <>,<>만 달러 상당의 노드 라이선스를 발행할 예정이며, 이 프로그램은 이번 주에 시작될 예정이다.
문제의 사건은 BNB 체인의 pNetwork에서 발행한 GALA의 래핑된 토큰인 1억 달러 상당의 pGALA를 발행한 해커와 관련이 있습니다. 토큰이 팬케이크 스왑에 버려지면서 공격자들은 유동성 풀에서 4만 달러를 빼낼 수 있었고 GALA의 토큰 가격에 막대한 피해를 입혔습니다.
pNetwork에 대한 소송이 접수되고 있습니다.
GameFi 프로젝트는 지난달 공격에서 pNetwork의 역할에 대해 법적 조치를 취했습니다. 이 소송은 이 사건으로 갈라 게임즈가 25,27만 달러의 손해를 입혔고 위반과 관련된 본인 부담 비용, 부상에 대한 추가 보상, 징벌적 손해 배상 및 기타 구제를 충당하기 위해 7,<>만 달러를 청구했다고 주장했습니다. 또한 플랫폼은 영향을 받는 다른 당사자에게 법무팀에 연락하여 보상 추구에 동참하도록 초대했습니다.
후오비는 최근 발표에서 이러한 노력을 지원하고 있다고 밝혔습니다. 유리한 판결이 내려지면 법적 비용을 뺀 모든 손해 배상금은 GALA 토큰으로 전환되어 소각됩니다.
저자
샘 그랜트Sam은 블록체인 공간에 관심이 많은 금융 콘텐츠 전문가입니다. 그는 금융 및 사이버 보안 분야의 여러 회사 및 언론 매체와 협력했습니다
|