주요 요점
- 디파이 거래 프로토콜인 Trusted Volumes가 약 590만 달러 상당의 다양한 암호화폐를 탈취당했습니다.
- 이번 공격은 프로토콜의 서명 검증 결함으로 인해 발생했으며, 해커가 주문을 위조할 수 있었습니다.
- 이더리움과 래핑된 비트코인을 포함한 도난 자산은 탈중앙화 거래소를 통해 신속하게 세탁되었습니다.
뒤로
디파이 프로토콜 Trusted Volumes, 취약점 공격으로 590만 달러 손실
블록체인 보안 업체 팩실드(PeckShield)에 따르면, 탈중앙화 금융 프로토콜 Trusted Volumes가 스마트 컨트랙트의 치명적인 결함을 이용한 공격으로 약 590만 달러 상당의 디지털 자산을 손실했습니다.
팩실드 대변인은 사후 보고서에서 "분석 결과, 이번 해킹은 프로토콜의 fillOrder 함수 내 로직 오류로 인해 발생했으며, 이를 통해 공격자가 서명 검증을 우회할 수 있었다"고 밝혔습니다. 블록체인 보안 업체 슬로우미스트(SlowMist) 또한 이번 공격의 세부 사항을 확인했습니다.
1inch 네트워크의 유동성 공급자로부터 유출된 총 자산에는 1,291 ETH(302만 달러), 16.94 WBTC(137만 달러), 126만 USDC, 206,000 USDT가 포함되었습니다. 온체인 데이터에 따르면 공격자는 즉시 자금 세탁을 시작하여 탈중앙화 거래소를 통해 스테이블코인과 WBTC를 2,513 ETH로 환전했습니다.
이번 사건은 자금 이동을 위해 광범위한 사용자 권한이 필요한 RFQ(견적 요청) 방식 디파이 프로토콜의 내재적 보안 리스크를 여실히 보여줍니다. 손실 규모가 시스템 전체를 위협할 정도는 아니지만, 사용자 신뢰를 저하시키고 감사가 부족한 소규모 디파이 프로젝트의 고위험성을 재확인시켜 주었습니다.
공격 진행 과정
Trusted Volumes는 개인 간 거래를 촉진하기 위해 RFQ 시스템을 사용하는 탈중앙화 장외거래(OTC) 데스크로 운영됩니다. 이 모델에서는 '테이커(taker)'가 가격 견적을 요청하고 '메이커(maker)'가 이를 제공합니다. 양측이 주문에 서명하면 스마트 컨트랙트에 의해 결제가 이루어집니다. 이 시스템 전체의 보안은 완벽한 암호화 서명 검증에 달려 있습니다.
공격자는 fillOrder 함수의 서명 검증 로직에서 취약점을 발견했습니다. 이를 통해 적절한 권한 없이도 거래 주문을 위조할 수 있었고, 결과적으로 사용자가 프로토콜에 관리를 승인한 자금을 탈취했습니다. Trusted Volumes를 유동성 공급자로 사용하는 탈중앙화 거래소 1inch는 자사 시스템이 이번 침해의 영향을 받지 않았음을 확인했습니다.
이번 취약점 공격은 디파이 공간 내에 존재하는 지속적인 위협을 상기시켜 줍니다. 공격자들이 점점 더 정교해짐에 따라, 사용자 자금을 취급하는 프로토콜에 있어 엄격한 코드 감사와 보안 최우선 원칙은 더욱 중요해지고 있습니다.
이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.
