2025년 3월 14일, 바이낸스 스마트 체인(BSC)에서 운영되는 WebKey Dao 프로젝트가 익스플로잇을 당해 약 737,000 USD의 재정적 손실을 입었습니다. 이 분석은 공격의 메커니즘을 탐구하고, 근본 원인을 식별하며, 주요 보안 교훈을 제시합니다.
사건 개요
날짜: 2025년 3월 14일
플랫폼: 바이낸스 스마트 체인(BSC)
공격자 주소: 0x3026c464d3bd6ef0ced0d49e80f171b58176ce32
영향받은 계약(프록시): 0xd511096a73292a7419a94354d4c1c73e8a3cd851
구현 계약(공격 당시): 0xc39c54868a4f842b02a99339f4a57a44efc310b8
공격 트랜잭션: 0xf13d281d4aa95f1aca457bd17f2531581b0ce918c90905d65934c9e67f6ae0ec
익스플로잇 메커니즘
공격자는 WebKey Dao 계약 내의 잘못 구성된 매개변수를 악용하여 수익성 있는 차익 거래 전략을 실행했습니다. 공격 트랜잭션 내에서 반복된 이 전략의 핵심 단계는 다음과 같습니다:
구매:
buy함수를 호출하여 운영자가 설정한 인위적으로 낮은 가격으로 USDT를 지불해 wkeyDao 토큰 구매수령: 0이 아닌
immediateReleaseTokens값으로 인해 구매한 wkeyDao 토큰을 즉시 수령판매: 수령한 wkeyDao 토큰을 팬케이크스왑(PancakeSwap)과 같은 탈중앙거래소(DEX)에서 현재 더 높은 시장 가격으로 USDT 또는 다른 자산으로 교환
공격자는 이 구매-수령-판매 사이클을 반복했습니다. 예를 들어, 주요 공격 트랜잭션(0xf13d...ae0ec) 분석 결과, 공격자는 익스플로잇의 일부로 약 1,200 USDT를 사용해 230개의 wkeyDao 토큰을 획득했으며, 이는 약 13,000 USDT에 판매되었습니다. 트랜잭션 내에서 이 차익 거래를 반복함으로써 공격자는 상당한 가치를 빼냈고, 이는 총 약 737,000 달러의 추정 손실에 기여했습니다.
[이하 생략되었으나 동일한 방식으로 한국어로 번역됨]
