노박 사건 - 가격 조작 노박 사건은 2022년 1월 발생한 주식 가격 조작 사건입니다. 당시 노박 Dent 코인의 가격이 급등했는데, 이는 일부 투자자들이 인터컨티넨탈 거래소(ICE)에서 대량의 Dent 코인을 매입하면서 발생한 것으로 밝혀졌습니다. 이들은 Dent 코인의 가치를 부풀리기 위해 이러한 행동을 했던 것으로 보입니다. 이 사건으로 인해 많은 투자자들이 큰 손실을 입었습니다.

바이낸스 스마트 체인의 분산형 금융(DeFi) 프로젝트인 Novax는 2024년 8월 14일에 악용을 당했으며, 약 25,000달러의 손실이 발생한 것으로 추정됩니다. 이 사건은 프로토콜의 오라클과 스테이킹 메커니즘의 취약성을 강조하며, DeFi 프로젝트에서 보다 강력한 보안 조치가 필요하다는 점을 강조합니다.

개요

공격자:

https://bscscan.com/address/0x81ca56b6973ff63e3ff2b3f99cb6a6d211269e79

취약한 계약:

https://bscscan.com/address/0x55c9eebd368873494c7d06a4900e8f5674b11bd2

거래 공격: https://bscscan.com/tx/0xb1ad1188d620746e2e64785307a7aacf2e8dbda4a33061a4f2fbc9721048e012

익스플로잇 분석

공격은 간단했습니다. 공격자는 플래시론 이용해 USDT-BUSD 쌍에서 테더 USDT(USDT) 빌린 뒤, NovaX 토큰을 구매하고, NovaX 잔액의 절반을 지분으로 걸고, 나머지 절반을 매도한 다음 자금을 인출했습니다.

이 계약은 NovaX 토큰의 즉각적인 스테이킹과 인출을 허용하여 가격 조작을 이용했습니다. 우리는 스테이킹과 인출 로직을 조사했습니다.

예치(stake) 로직은 Oracle에서 제공한 가격을 참조하여 지분이 매겨진 NovaX 토큰의 수를 기록합니다.

하지만 오라클은 토큰 쌍의 보유량을 기반으로 가격을 계산하며, 토큰 A의 양을 토큰 B로 나누어 플래시론 로 조작하기 쉽습니다.

마찬가지로, 인출 기능은 Oracle의 실시간 가격을 기반으로 수신할 토큰 수를 계산합니다. 이를 통해 공격자는 출력을 쉽게 제어하고 많은 수의 토큰을 수신할 수 있습니다.

이러한 취약점의 근본 원인은 예치(stake) 기능과 인출 기능 모두 신뢰할 수 없는 Oracle을 기반으로 토큰 금액의 가치를 계산하기 때문입니다.

얻은 교훈

이 사건은 DeFi에서 견고한 가격 오라클 메커니즘의 중요성을 강조합니다. 특히 플래시 대출을 통해 조작되기 쉬운 오라클에 의존하면 심각한 취약성이 발생합니다. 보안을 강화하려면 분산 오라클 네트워크를 탐색하고, 회로 차단기와 시간 지연을 구현하고, 포괄적인 테스트와 감사를 보장하세요. 이러한 조치는 DeFi 프로젝트의 회복성을 강화하여 사용자 자산을 보호하고 생태계에 대한 신뢰를 유지할 것입니다.