암호화폐 네오뱅크 Infini가 전 개발자의 관리 권한 남용으로 인해 4,950만 달러를 해킹당했습니다.
Infini의 계약 작업에 참여했던 공격자는 프로젝트 완료 후 자신의 권한을 악용하여 플랫폼에서 자금을 인출했습니다.
스마트 계약 감사 기업 QuillAudits는 "권한 침해와 권한 상승"으로 인해 이 취약점이 발생했으며, 공격자가 손상된 계정에 접근할 수 있는 개인 키를 악용했다고 확인했습니다.
해커는 "0xc4...3e1" 계정의 개인 키에 접근했으며, 이 계정은 금고에서 자금을 인출할 수 있는 특별한 역할(0x8e0b)을 부여받았습니다.
해커는 첫 번째 거래에서 1,145만 달러, 두 번째 거래에서 3,806만 달러를 인출하여 총 4,950만 달러를 훼손했습니다.
이후 자금은 USD 코인(USDC)에서 다이(DAI)로 교환되었고, 17,696 이더리움(ETH)으로 전환되었습니다.
Infini의 창립자 Christian Li는 이 사건을 인정하고 보상을 약속했습니다. 그는 "권한 이전 과정에서 부주의했다"고 밝혔습니다.
Infini는 해킹 이후에도 출금을 계속 허용했으며, 최악의 경우 전액 보상이 가능하다고 밝혔습니다.
Li는 도난 자금 회수를 희망하며 해커에게 20%의 보상을 제안했습니다.
이번 사건은 스마트 계약의 관리 권한 유지에 따른 중대한 위험을 보여줍니다. 프로젝트들은 배포 후 권한을 철저히 감사하고 불필요한 권한을 회수해야 합니다.
이번 해킹은 암호화폐 거래소 바이비트에서 발생한 14억 달러 규모의 대규모 해킹 사건에 이어 발생한 것입니다.
DeFi 분야의 보안 문제가 계속 대두되고 있으며, 지난해 22억 달러 이상의 암호화폐가 도난당했습니다.
