2024년 9월 26일, 유동적 리스테이킹(reStaking) 플랫폼인 Bedrock DeFi 프로토콜이 공격을 받아 이더리움 메인넷에서 약 170만 달러의 손실이 발생했습니다. 이 해킹은 uniBTC 토큰의 주조를 제어하는 Vault 계약을 표적으로 삼았습니다.
개요
공격자: https://etherscan.io/address/0x2bfb373017349820dda2da8230e6b66739be9f96
취약한 계약: https://etherscan.io/address/0x047d41f2544b7f63a8e991af2068a363d210d6da
거래 공격: https://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940
익스플로잇 분석
공격 트랜잭션을 살펴보면 flashloan을 사용하여 Balancer Vault에서 30.8 WETH를 빌린 후 공격자의 계약이 이를 모두 기본 이더리움(ETH) 로 변환하여 Bedrock DeFi의 Vault 계약으로 이체했고 궁극적으로 30.8 uniBTC 토큰이 발행되었습니다.