최근 잇따른 해킹 공격으로 인해 오래된 탈중앙화 금융(DeFi) 플랫폼들이 집중적인 공격 대상이 되고 있습니다.
2020년부터 2022년까지 이어진 DeFi 붐 동안 리본 파이낸스(Ribbon Finance), Rari 자본 , Yearn과 같은 기업들은 업계에서 널리 알려진 이름이었습니다.
하지만 12월에 세 프로젝트 모두의 계약서가 해킹당하면서, 해커들이 AI를 이용해 잊혀진 코드를 재검토하고 있을 가능성이 제기되었습니다.
이 캠페인은 둔화될 기미를 보이지 않고 있습니다. 세 건의 사건을 통해 추가로 두 개의 프로젝트에서 총 2,700만 달러의 손실이 발생 했습니다.
Truebit: 2,600만 달러 규모의 무한 민트(Mint)
목요일, "검증 계층"인 트루비트(Truebit)가 올해 첫 대규모 해킹 공격을 받았습니다.
해당 계약에는 정수 오버플로 취약점이 포함되어 있어 해커가 대량의 TRU 토큰을 민트(Mint) 할 수 있었습니다.
이후 해당 코인들은 소각되었고, 해커는 2,600만 달러 상당의 이더리움(이더리움(ETH)) 8,535개를 인출했으며, TRU 가격은 0으로 폭락했습니다.
자세히 보기: AI 해커가 500만 달러 규모의 해킹 공격으로 오래된 DeFi 프로젝트를 노리고 있는 것일까?
해당 코드는 출시 당시부터, 즉 거의 5년 전부터 취약한 상태였습니다. 한때 이 계약에 약 44,000 이더리움(ETH) (미화 1억 4천만 달러 상당)가 예치되어 있었던 점을 고려하면, 피해는 훨씬 더 심각했을 수도 있습니다.
이후 온체인 봇들이 해당 공격을 재현했으며, 한 보안 연구원은 " 퍼징 봇들이 마치 피라냐처럼 이 공격을 닥치는 대로 받아먹고 있다 "고 평했습니다.
선물교환: 이중고
오늘 오전, 아비트럼(Arbitrum) 에서 운영이 중단된 것으로 보이는 레버리지 거래 플랫폼인 Futureswap이 두 번째 공격을 받았습니다.
데큐리티(Decurity)가 지적한 바와 같이, 검증되지 않은 계약으로 인해 40만 달러가 넘는 손실이 발생했으며, 이로 인해 지난 한 달 동안 해당 프로젝트에서 유출된 총액은 약 100만 달러에 달합니다.
더 읽어보기: 2025년 최대 암호화폐 해킹 사건: 거래소 해킹부터 DeFi 공격까지
퓨처스왑은 앞서 12월에 지배구조 공격을 받아 최소 55만 달러의 손실이 발생한 것으로 추산됩니다.
공격자는 "플래시론"을 통해 일시적으로 빌린 토큰으로 투표하기 전에 악의적인 제안을 제출했습니다.
'이런 일은 계속 일어날 겁니다.'
익명성 전 Yearn 보안 연구원 storming0x는 이전에 공격자가 "특히 기존 계약을 표적으로 삼는" 패턴을 지적한 바 있으며, 이번에도 DeFi 팀들에게 오래된 코드를 재검토할 것을 촉구했습니다.
그들은 팀들이 기존 계약을 "사용 중단/종료하거나 재검토"하고 사용자 보호를 위해 "예방 조치를 시행"할 것을 권장합니다. 사용자들은 "기존 계약에서 탈퇴"해야 합니다.
" 이런 일은 계속 일어날 겁니다 ."라고 그들은 경고합니다.
