각본: Ekin Genç & Stephen Graves
편집: 남풍
탈중앙화 금융(DeFi)은 대출, 저축 및 교환과 같은 금융 상품 및 서비스에서 중개자를 차단하도록 설계된 블록체인 애플리케이션입니다. DeFi는 높은 수익을 제공하지만 많은 위험을 수반합니다.
거의 모든 사람이 DeFi 프로토콜을 시작하고 일부 스마트 계약을 작성할 수 있기 때문에 코드의 버그는 일반적입니다. DeFi 공간에는 이러한 허점을 악용할 준비가 되어 있고 악용할 수 있는 파렴치한 사람들이 많이 있습니다. 이런 일이 발생하면 수백만 달러의 자금이 위험에 처하고 사용자는 종종 의지할 곳이 없습니다.
지난 11월 Elliptic의 보고서에 따르면 DeFi 사용자는 2021년에 도난으로 105억 달러를 잃었습니다. 그러나 아래에서 가장 큰 DeFi 익스플로잇 중 일부를 나열할 것이므로 그 숫자는 수백만 개로 증가했습니다. (아래의 모든 수치는 공격 당시의 자금 가치입니다.)
13. Grim Finance: 3천만 달러
종종 Dapps(탈중앙화 애플리케이션)는 그들이 구축한 블록체인에서 주제별 영감을 얻습니다. 이와 같이 Avalanche(Avalanche) 블록체인의 생태계는 Snowtrace, Blizz 및 Defrost와 같은 "눈" 테마 애플리케이션으로 가득 차 있습니다. 한편, 팬텀 블록체인 생태계는 온체인 할로윈 파티와도 같습니다. 이것은 Fantom 체인의 수율 최적화 프로토콜인 Grim Finance에서 일어난 일과 같이 상황이 잘못되었을 때 더 어두운 계층을 추가합니다.
2021년 12월 Grim Finance 프로토콜은 재진입 공격(reentrancy attack)에 시달렸습니다. 이 공격은 공격자가 이전 거래가 완료되지 않은 상태에서 금고에 추가 예금을 위조하는 공격입니다. 궁극적으로 이 공격으로 인해 3천만 달러 상당의 팬텀 토큰이 도난당했습니다.
DeFi 프로토콜은 종종 재진입 가드 또는 그러한 공격을 방지하는 코드 조각을 사용합니다. 블록체인 보안 감사 회사인 Solidity Finance가 발행한 Grim Finance 감사 보고서는 프로토콜이 이미 재진입 보호를 사용하고 있다고 잘못 설명했습니다. 이것은 감사가 취약점이 발생하지 않는다는 것을 보장하지 않는다는 것을 상기시켜줍니다.
12. 미어캣 파이낸스: 3,100만 달러
때때로 DeFi 프로토콜이 첫 번째 공격을 받는 데 오래 걸리지 않습니다. BSC(Binance Smart Chain) 기반 대출 프로토콜인 Meerkat Finance는 2021년 3월 출시된 지 하루 만에 사용자 자금 3,100만 달러를 잃었습니다.
공격자는 계약의 함수를 호출하여 공격자의 주소를 금고 계약의 소유자로 만들고 1,396만 달러 상당의 바이낸스 스테이블코인 BUSD와 또 다른 73,000 BNB(바이낸스 네이티브 토큰)를 탈취했습니다. 시간.
많은 사용자는 이것이 내부 작업이라고 생각합니다. 프로토콜 개발자는 Rug Pull을 구현했습니다. Meerkat은 혐의를 부인했습니다.
11. Vee 금융: 3,500만 달러
2021년 여름에는 블록체인 네트워크의 초기 생태계를 공격하려는 사람들을 끌어들이는 Avalanche 체인의 활동이 급증했습니다.
2021년 9월, 대출 플랫폼 Vee Finance는 3억 달러의 TVL(Total Locked Volume) 이정표를 막 기념했으며, 일주일 후 프로토콜은 Avalanche 네트워크에서 가장 큰 취약점 공격을 받았습니다.
이 공격은 주로 Vee Finance의 레버리지 거래 기능이 Avalanche의 주요 유동성 프로토콜인 Pangolin에서 제공하는 토큰 가격에 의존했기 때문에 발생했습니다. 이를 악용하기 위해 공격자는 Pangolin에서 7개의 거래 쌍을 생성하고 유동성을 제공했으며 최종적으로 Vee Finance에서 레버리지로 거래했습니다. 이를 통해 공격자는 Vee Finance 프로토콜에서 3,500만 달러 상당의 암호화폐를 빼돌릴 수 있었습니다.
Vee Finance 프로토콜은 "Dear Mr./Madam 0x**95BA"(아래 참조)라는 트윗에서 공격자에게 자금을 반환하고 프로토콜의 바운티 프로그램의 일부로 공격자가 자금의 일부를 유지하도록 요청했습니다. . 그러나 공격자는 자금을 반환할 의사가 없습니다.
10. 팬케이크 버니: 4,500만 달러
암호화 공간은 종종 짧지만 강력한 추세를 경험합니다. 2021년 봄, Binance Smart Chain(BSC)(현재 BNB Chain으로 이름이 변경됨)은 체인의 낮은 네트워크 수수료로 인해 특히 소매 사용자에게 가장 인기 있는 DeFi 트렌드를 가지고 있습니다.
그러나 BSC 체인에는 많은 사기와 해킹이 있었으며, 그 중 가장 큰 것은 2021년 5월 수확 농업 프로토콜 PancakeBunny에 대한 공격이었습니다.
해커가 8번의 플래시 론 공격을 통해 PancakeBunny의 가격 책정 알고리즘을 조작하여 프로토콜의 기본 토큰인 BUNNY의 가격을 올렸습니다. 해커는 먼저 BUNNY를 낮은 시장 가격에 사들인 다음 인위적으로 높은 가격에 팔아 4,500만 달러의 이익을 챙겼습니다.
9. bZx: 5,500만 달러
2021년 11월, 다중 체인 대출 프로토콜 bZx는 "개인 키"가 유출된 후 해킹당했습니다. 프로토콜은 BSC 및 Polygon 체인에서 총 5,500만 달러를 잃었습니다.
그러나 bZx는 이전에 두 번 비슷한 고통을 겪었습니다.
플래시론 공격은 현재 DeFi 분야에서 일반적인 공격 전략이지만 bZx는 이와 관련하여 "OG"(베테랑 프로젝트)입니다. 2020년 2월, 프로토콜은 마진 거래 플랫폼인 Fulcrum을 대상으로 한 플래시 론 공격의 대상이었습니다. 해커는 당시 $366,000 상당의 1,300wETH를 훔쳤습니다.
2020년 9월 또 다른 공격에서 bZx는 금고에 잠긴 자금의 30%를 잃었습니다. 당시 가치는 800만 달러였습니다. 그러나 오픈 마진 포지션을 가진 사용자는 손실을 입지 않았습니다. 프로토콜이 나중에 보고서에 명시된 바와 같이 bZx의 보험 기금에서 자금을 가져갔기 때문입니다.
8. Badger DAO: 1억 2천만 달러
스마트 계약 버그로 인해 DeFi 프로젝트에 항상 수백만 달러의 비용이 드는 것은 아닙니다.
2021년 12월, Bitcoin을 DeFi로 연결하는 Bridge인 Badger DAO는 1억 2천만 달러의 손실을 입었습니다. 공격자는 사용자 인터페이스에 악의적인 지갑 요청을 삽입하여 Badger DAO 사용자가 악성 주소에 대한 토큰 사용 권한을 승인하도록 유도하여 공격자가 다음을 허용합니다. 사용자의 금고 자금을 관리하고 자금을 이체합니다. 이 공격으로 인해 약 2,100 BTC와 151 ETH를 포함하여 1억 2,030만 달러의 손실이 발생했습니다.
블록체인 보안 회사인 PeckShield는 프로토콜의 계약이 안전하며 사용자 인터페이스만 영향을 받았다고 말했습니다.
7. 크림 파이낸스: 1억 3천만 달러
DeFi 대출 프로토콜 Cream Finance는 2021년 10월 프로토콜에 대한 세 번째 공격인 플래시 대출 공격으로 1억 3천만 달러를 잃었습니다.
플래시론을 사용하면 동일한 거래에서 대출금을 상환하는 경우 즉시 대출을 받을 수 있습니다. 플래시 론은 차익 거래에 유용하지만 DeFi 프로토콜의 취약점을 악용하는 악의적인 행위자에 의해 널리 사용됩니다. Cream Finance의 경우 플래시 론 공격자는 가격 허점을 악용하여 다른 이더리움 주소에서 반복적으로 플래시 론을 얻을 수 있었습니다.
크림파이낸스도 이보다 앞서 플래시론 공격을 경험했다. 2021년 8월, 해커는 주로 Flexa Network의 기본 토큰 AMP를 표적으로 하는 또 다른 플래시 대출 공격을 통해 Cream Finance에서 약 2,500만 달러를 훔쳤습니다. 2021년 2월 플래시 대출 공격에서 해커는 Cream Finance 프로토콜 풀에서 3,750만 달러를 훔쳤습니다.
6. Vulcan Forged: 1억 4천만 달러
P2E(Play-to-earn)는 암호화 공간의 최신 트렌드 중 하나이지만 구식 사기와 함정, 특히 중앙 집중식 기능을 이용하는 사기와 함정을 제거하지 못했습니다. Polygon의 P2E 플랫폼인 Vulcan Forged는 사용자가 2021년 12월에 1억 4천만 달러를 잃은 힘든 방법을 배웠습니다.
사후 보고서에 따르면 해커는 플랫폼의 중앙 집중식 사용자 지갑인 Venly의 자격 증명을 획득하여 96개의 암호화된 지갑에 대한 개인 키를 획득했습니다. 이후 해커는 이를 이용해 플랫폼의 자산 포트폴리오 기능인 마이포지(MyForge)의 프라이빗 키를 획득했고, 결국 사용자로부터 450만 벌컨 포지드의 네이티브 토큰 PYR을 훔쳤다.
Vulcan Forged의 CEO인 Jamie Thomson은 커뮤니티와의 인터뷰에서 "물론 앞으로는 탈중앙화 지갑만 사용할 것이므로 다시는 이런 문제가 발생하지 않을 것입니다."라고 말했습니다.
5. 컴파운드: 1억 5천만 달러
대부분의 DeFi 프로토콜과 마찬가지로 대출 프로토콜인 Compound에는 프로토콜이 특정 조건에서 사용자에게 배포하는 거버넌스 토큰인 COMP가 있습니다.
2021년 10월, 컴파운드는 대출자가 COMP의 예상 지분보다 더 많은 것을 요구할 수 있는 허점을 가지고 있다고 보고되었습니다. 이 허점은 컴파운드의 두 금고(펀드 풀)와 관련이 있습니다. 사용자는 Reservoir 금고에서 특정 함수 drip()을 호출하여 8,000만 달러 상당의 COMP가 다른 금고인 Comptroller로 전송되도록 할 수 있습니다. 볼트는 대량의 COMP 토큰을 잘못된 주소로 자동 배포했습니다. 이 "새는 수도꼭지"는 이전 프로토콜 업데이트에서 도입된 버그로 인해 발생했습니다.
8,000만 달러 상당의 COMP가 잘못된 주소로 보내진 후 팀은 서둘러 패치를 구성했습니다. 그러나 수정 사항을 구현하기 전에 프로토콜은 거버넌스 제안을 채택해야 합니다. 제안서는 10월 2일에 작성되었고 10월 9일에 최종 승인되었습니다. 커뮤니티가 논쟁을 벌이는 동안 두 금고는 6880만 달러를 더 잃었습니다.
컴파운드 창업자 로버트 레슈너가 돈을 되찾기 위해 노력하는 방법 그가 Twitter에서 "COM을 커뮤니티에 반환하라"고 요청한 후 자금의 거의 절반이 반환되었습니다.
4. 콩나무: 1억 8,200만 달러
유용하면서도 위험한 플래시론! TVL에서 1억 5천만 달러를 축하한 지 이틀 만에 이더리움 기반 스테이블 코인 프로토콜인 Beanstalk는 플래시 대출 공격에서 1억 8천 2백만 달러가 누락되었음을 발견했습니다. 공격자는 Tornado Cash를 통해 8천만 달러 상당의 ETH를 성공적으로 세탁했습니다. Beanstalk는 알고리즘 스테이블코인 BEAN으로 가장 잘 알려져 있으며 1달러에 고정되어야 합니다. 스테이블코인은 공격 직후 페그를 유지했지만, 이 사건은 알고리즘 스테이블코인이 이를 뒷받침하는 계약만큼만 안정적이라는 것을 보여주었습니다.
3. 웜홀: 3억 2,600만 달러
점점 더 많은 DeFi가 L1(레이어 1) 블록체인에 구축됨에 따라 사용자가 L1 체인 간에 자금을 이동하려는 욕구가 커지고 있습니다. "교차 체인 브리지"는 이러한 요구를 해결하지만 새로운 취약점도 도입합니다. 가장 큰 피해를 입힌 교차 체인 이벤트는 2022년 1월에 발생했습니다. 인기 있는 교차 체인 브리지 Wormhole(Solana와 Ethereum 연결)이 해킹되어 3억 2천만 달러의 wETH 손실이 발생했습니다. wETH는 이더리움 가격과 1:1로 고정된 암호화폐입니다.
사용자가 Wormhole 교차 체인 브리지를 사용할 때 동등한 양의 wETH를 얻기 위해 먼저 스마트 계약에서 ETH를 잠가야 합니다. 해커는 Wormhole 계약에서 ETH를 잠그지 않고 WETH를 발행하여 이 문제를 해결할 수 있는 방법을 찾았습니다.
Jump Trading Group은 Wormhole 개발의 이해 관계자 중 하나이며 팀은 Wormhole의 손실된 ETH를 적극적으로 보충했습니다. 불과 하루 후 Wormhole Bridge가 다시 온라인 상태가 되었습니다.
2. 로닌 브리지: 5억 5200만 달러
NFT 기반 게임 Axie Infinity는 작년에 가장 성공적인 암호화폐 게임 중 하나였습니다. 2022년 3월 23일, 암호화폐 공간에서 가장 큰 해킹 중 하나의 피해자가 되었습니다. 공격자는 약 5억 5,200만 달러 상당의 암호화폐를 전송하기 위해 "도난된 개인 키"를 사용했습니다.로닌 다리에서 도난。
일주일 후 Axie Infinity 개발자 Sky Mavis가 유출 사실을 공개했을 때 도난당한 자금의 가치는 6억 2,200만 달러로 증가했습니다.
Sky Mavis 보고서에 따르면 공격자는 "가스 없는 RPC 노드를 통해 백도어를 찾은 다음 이 백도어를 악용하여 Axie DAO 검증자로부터 서명을 얻었습니다."
로닌 사이드체인은 9개의 검증자 노드로 보호되며 입금 이벤트 또는 인출 이벤트를 식별하기 위해 이 9개의 검증자 노드 중 5개가 서명해야 합니다. 3월 23일, 공격자는 이러한 노드 중 5개(Sky Mavis 자체에서 실행하는 4개 노드와 Axie DAO에서 실행하는 1개 노드 포함)를 제어할 수 있었고 이 5개 유효성 검사기의 개인 키가 도난당했습니다. 이를 통해 공격자는 거래를 위조하고 173,600 wETH와 2,550만 USDC를 빼앗아 총 약 6억 2,200만 달러를 탈취할 수 있었습니다.
Axie Infinity의 공동 창립자 Jeff Zirlin은 "이것은 역사상 가장 큰 해킹 중 하나입니다. (해커는) 발견되어 정의를 내릴 가능성이 있습니다."
1. 폴리 네트워크: 6억 1,100만 달러
Poly Network 해킹은 암호화 공간에서 가장 큰 침해로 남아 있습니다. 다행히 2021년 8월 10일에 시작된 대하드라마는 기이한 반전의 연속 끝에 사흘 만에 해피엔딩으로 막을 내렸다.
절도는 공격자가 Poly Network의 "계약 호출"의 취약점을 악용하면서 시작되었습니다. 해커는 6억 1,100만 달러 상당의 다양한 암호화폐를 빠르게 훔쳤고, Poly Network는 "Dear Hacker"라는 문구가 포함된 필사적인 편지를 게시했습니다.
이러한 소통의 시도와 그에 따른 노력은 결국 먹혔습니다. 이 계약은 $500,000의 현상금을 제공하고 해커에게 최고 보안 고문이 될 기회를 제공했습니다. 그러나 온체인 Q&A 세션에서 공격자는 공격이 Poly Network에 교훈을 주기 위한 것이라고 설명했습니다. 공격자는 자금 반환이 "오랜 계획"이라고 말했습니다.
암호화폐 보안업체 슬로우미스트(SlowMist)는 공격자의 IP와 이메일 정보를 확인했으며 이번 공격은 "장기적으로 계획되고 조직적이며 준비된 공격일 수 있다"고 밝혔다.
소스 링크
