주요 내용:
- 공격자는 손상된 디플로이어 키를 이용해 Arbitrum에서 5.4조 개의 vsdCRV 토큰을 발행했습니다
- 공격자는 발행 물량의 일부를 43.78 ETH(약 9만 1000달러)로 스왑하고 자금을 이더리움으로 브릿지했습니다
- 사후 분석 보고서는 아직 발표되지 않았으며, Stake DAO는 사용자들에게 vsdCRV와 상호작용하지 말 것을 촉구했습니다
뒤로
Stake DAO, 익스플로잇 피해…공격자, Arbitrum에서 5.4조 vsdCRV 발행
공격자가 스테이크 다오(Stake DAO)를 Arbitrum에서 익스플로잇해, 프로토콜의 디플로이어 프라이빗 키를 탈취한 후 5.4조 개의 vsdCRV 토큰을 발행했다.
블록섹(BlockSec)은 X를 통해 "의심되는 근본 원인은 스테이크 다오 디플로이어 프라이빗 키의 손상으로, 공격자가 vsdCRV의 임의 피어를 설정하고 조건 없는 발행을 유발하는 악의적인 메시지를 위조할 수 있게 됐다"고 밝혔다.
Arbiscan 데이터에 따르면, 공격자는 5월 27일 09:17:58 UTC에 LayerZero v2 Executor 호출을 통해 정확히 5,446,744,073,709.551615개의 vsdCRV를 발행했다. 펙실드(PeckShield)는 지금까지 43.78 ETH(약 9만 1000달러 상당)가 스왑되어 이더리움으로 브리징됐다고 보고했다. vsdCRV는 스테이크 다오의 유동성 락커 토큰인 sdCRV를 기반으로 한 투표 부스트 래퍼(wrapper)로, 커브 파이낸스(Curve Finance) 거버넌스 생태계에서 사용된다.
이번 익스플로잇은 DeFi 보안에 있어 혹독한 시기를 더욱 악화시켰다. 4월 이후 수십 건의 해킹을 통해 6억 달러 이상의 손실이 발생했으며, 그중 가장 큰 규모는 북한의 라자루스 그룹과 연계된 2억 9300만 달러 규모의 켈프 다오(Kelp DAO) 익스플로잇이었다. 스테이크 다오는 아직 검증된 사후 분석 보고서나 최종 손실 추정치를 공개하지 않았으며, 익스플로잇은 현재 진행 중인 것으로 보인다.
키 탈취와 스마트 컨트랙트 버그 간의 차이는 회복 가능성 측면에서 중요하다. 스마트 컨트랙트 취약점은 패치가 가능하다. 반면, 프라이빗 키가 손상됐다는 것은 공격자가 멀티시그(multisig)나 타임락 보호 장치와 같은 충분한 안전장치 없이 중요한 발행 권한—이번 사례의 경우 Arbitrum에서 vsdCRV의 디플로이어 지갑—을 장악했음을 의미한다.
이번 사건은 크로스체인 보안에 대한 새로운 의문도 제기한다. 스테이크 다오는 네트워크 간 토큰 이동을 위해 레이어제로(LayerZero)를 사용한다. 레이어제로 자체가 손상된 것은 아니지만, 목적지 체인에서 담보가 없는 공급량을 발행할 수 있다는 점은 브리지 기반 토큰 아키텍처에 내재된 위험을 여실히 보여준다. 4월에 발생한 켈프 다오 익스플로잇도 위조된 레이어제로 패킷을 이용해 체인 전반에 걸쳐 rsETH를 잠금 해제한 사례였다.
sdCRV 또는 vsdCRV를 보유한 유동성 풀은 공격자가 계속해서 부풀려진 공급량을 덤핑함에 따라 잠재적 불균형에 직면할 수 있다. sdCRV 보유자는 기초 CRV 담보가 그대로 유지되는지 평가해야 한다. 특히 컨벡스 파이낸스(Convex Finance)와 같은 커브 워(Curve Wars) 경쟁사들은 사용자 신뢰가 스테이크 다오에서 이탈할 경우 안전자산 선호 현상으로 혜택을 볼 수 있다.
본 글은 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
