또 다른 디파이 프로토콜이 해킹당했다! 탈중앙화 대출 및 스테이블코인 서비스에 중점을 둔 디파이 프로토콜 ResupplyFi는 오늘(26일) 이른 아침 X 플랫폼을 통해게시물을 올려 공식적으로 wstUSR 시장에서 중대한 보안 취약점 공격을 받아 약 960만 달러의 암호화폐 자산 손실이 발생했음을 확인했다.
ResupplyFi의 wstUSR 시장에서 취약점 공격이 발생했다. 영향을 받은 스마트 계약은 확인되었으며 일시 중단되었다. wstUSR 시장만 영향을 받았으며, 프로토콜의 다른 부분은 설계대로 정상 작동하고 있다. 우리는 전체 분석을 완료한 후 최대한 빨리 전체 사후 분석 보고서를 공유할 것이다.
해커 공격 상세 내용과 취약점 근원
《Cointelegraph》의 보도에 따르면, 보안 회사의 분석에 의하면 해커는 ResupplyPair 스마트 계약의 가격 조작 취약점을 이용했으며, 특히 프로토콜과 합성 스테이블코인 cvcrvUSD의 통합을 노렸다. 공격자는 유동성이 낮은 시장에 '기부'하거나 플래시론을 사용하여 cvcrvUSD의 가격을 크게 조작한 후, 매우 낮은 담보로 약 1,000만 reUSD(Resupply의 고유 스테이블코인)를 대출받았다. 이 대출받은 reUSD는 빠르게 이더리움(ETH)과 USDC를 포함한 다른 암호화폐 자산으로 전환되어 약 960만 달러의 순손실을 초래했다.
취약점의 근원은 Resupply 프로토콜이 가격 오라클로 빈 ERC4626 래퍼를 사용했기 때문으로, 이로 인해 가격 논리에 심각한 결함이 발생했다. 이러한 설계 실수로 해커가 매우 낮은 비용으로 환율을 조작할 수 있었고, 결과적으로 대규모 자금을 쉽게 탈취할 수 있었다. Cyvers는 해커의 초기 자금이 암호화폐 믹서 Tornado Cash를 통해 제공되었으며, 이는 자금 출처를 더욱 모호하게 만들어 추적을 어렵게 만들었다고 지적했다.
현재 도난된 자금은 약 200만 달러의 이더리움(ETH), 360만 달러의 USDC 및 기타 암호화폐 자산으로 전환되어 두 개의 익명 지갑 주소로 분산되었다.
ResupplyFi USD 디페깅
이로 인해 ResupplyFi USD(reUSD)는 오늘 최저 0.96902 달러까지 디페깅되었으며, 작성 시점 기준으로 0.9906 달러에 거래되고 있고, 시총은 약 8,245만 달러이다.
ResupplyFi란 무엇인가?
ResupplyFi는 탈중앙화 금융(디파이) 프로토콜로, 탈중앙화 대출 및 스테이블코인 거래 서비스 제공에 중점을 둔다. 주요 기능에는 사용자가 스마트 계약을 통해 탈중앙화 대출을 받고, 자산을 담보로 스테이블코인(예: reUSD)을 생성하며, 유동성 채굴 등의 기능을 제공하는 것이 포함된다. 주요 시장 중 하나는 wstUSR 시장으로, 합성 스테이블코인(예: cvcrvUSD)과의 통합과 관련이 있다.
이번 사건은 디파이 프로토콜의 보안성에 대한 경고의 종소리를 다시 한 번 울렸다. 전문가들은 디파이 프로젝트가 스마트 계약의 입력 검증을 강화하고, 가격 오라클의 설계를 개선하며, 극단적인 상황에서의 스트레스 테스트를 수행하여 유사한 가격 조작 공격을 방지해야 한다고 조언했다. 또한 다중 오라클 또는 탈중앙화 데이터 소스를 채택하는 것도 리스크를 효과적으로 낮출 수 있다.
