온체인 Dex 어그리게이터 주요 스마트 계약 공격으로 1,700만 달러의 손실을 입었습니다.

avatar
BeInCrypto
01-26
이 기사는 기계로 번역되었습니다
원문 표시

온체인 탈중앙거래소(DEX) (탈중앙화 거래소(DEX)) 통합 플랫폼인 스왑넷(SwapNet)에서 주요 스마트 계약 취약점이 발생하여 약 1,680만 달러 상당의 암호화폐 자산이 유출되었습니다.

이번 사건은 탈중앙화 금융(DeFi)에서 토큰 승인 및 제3자 라우팅 계약과 관련된 지속적인 보안 위험을 부각시켰습니다.

온체인 탈 Dex 어그리게이터 넷(SwapNet)에서 1,680만 달러 규모의 해킹 공격 발생

PeckShield는 공격자가 0x 팀이 개발한 메타 Dex 어그리게이터 인 Matcha Meta를 통해 접근 가능한 SwapNet 관련 활동을 표적으로 삼았다고 보고했습니다.

공격자는 Base 네트워크에서 약 1,050만 달러 상당의 USDC를 약 3,655 이더리움(ETH) 로 교환한 후 해당 자금을 이더리움으로 이전했는데 , 이는 추적 및 복구 노력을 어렵게 하기 위해 흔히 사용되는 수법입니다.

Matcha Meta는 이번 취약점 노출이 자사의 핵심 인프라에서 비롯된 것이 아니라고 밝혔습니다. 오히려 영향을 받은 사용자는 토큰 권한 관리를 제한하기 위해 설계된 보안 기능인 0x의 일회성 승인 시스템을 사용하지 않기로 선택한 사용자들이었습니다.

이 옵션을 비활성화한 사용자는 SwapNet의 라우터를 포함한 기본 집계 계약에 직접 승인 권한을 부여하게 되었고, 이것이 궁극적으로 공격 경로가 되었습니다.

Matcha Meta는 성명을 통해 "일회성 승인 기능을 비활성화한 사용자들이 SwapNet 관련 문제에 노출되었을 가능성이 있음을 인지하고 있다" 고 밝혔습니다 .

해당 플랫폼은 스왑넷 팀과 협력하고 있으며, 조사가 진행되는 동안 영향을 받은 계약을 일시적으로 비활성화했다고 확인했습니다.

예방 조치로, Matcha Meta는 사용자들에게 0x의 일회성 승인 체계 외부에 있는 개별 애그리게이터에 대한 승인을 즉시 취소할 것을 촉구했습니다.

해당 플랫폼은 SwapNet의 라우터 계약(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)을 가장 시급하게 취소해야 할 대상으로 지목했습니다. 이를 취소하지 않을 경우, 취약점이 해결된 후에도 지갑이 노출될 수 있습니다.

DeFi의 보안 상충 관계: 스마트 계약 악용 사례 증가 속 편의성 vs. 안전성

이번 사건은 DeFi에서 오랫동안 지속되어 온 편의성과 보안 사이의 상충 관계를 보여줍니다. 일회성 승인 방식은 사용자가 각 거래를 개별적으로 승인하도록 하여 지속적인 공격 표면을 줄여줍니다. 하지만 이는 빈번한 거래 사용자에게는 불편함을 초래하기도 합니다.

무제한 승인은 더 빠르지만, 스마트 계약이 사용자 자금에 영구적으로 접근할 수 있도록 허용합니다. 그러나 이러한 방식은 계약이 해킹당할 경우 위험해집니다.

SwapNet은 아직까지 완전한 기술적 사후 분석 보고서를 발표하지 않았으며, 피해를 입은 사용자들에게 보상이 제공될 것인지에 대해서도 언급하지 않았습니다. 이로 인해 책임 소재와 복구 방안에 대한 의문이 남아 있습니다.

즉각적인 명확성 부족으로 인해 DeFi 생태계 전반에 걸쳐 승인 관행 및 애그리게이터 통합에 대한 면밀한 조사가 더욱 강화될 가능성이 높습니다.

또 다른 이더리움 취약점 발생으로 검증되지 않은 비공개 소스 계약의 위험성이 부각되었습니다.

이번 공격은 암호화폐 시장에서 스마트 계약 공격 및 보안 사고가 빈번하게 발생하는 가운데 나왔습니다.

같은 날, 보안 감사관인 파쇼프는 약 37 WBTC, 즉 310만 달러 이상의 가치가 있는 이더리움 메인넷 취약점을 별도로 지적했습니다.

이는 불과 41일 전에 배포된, 검증되지 않은 비공개 소스 코드의 계약과 관련이 있었습니다. 해당 계약은 사람이 읽을 수 없는 바이트코드만 공개하여 공개 검토를 불가능하게 했습니다.

이러한 사건들은 DeFi에 공격자들이 활동할 수 있는 비옥한 토양이 풍부하다는 것을 보여줍니다. 그 토양은 다음과 같습니다.

  • 검증되지 않은 코드
  • 지속적인 승인 및
  • 복잡한 라우팅 계층.

수년간의 감사와 보안 개선에도 불구하고, DeFi는 여전히 구조적 취약점과 씨름하고 있습니다. 이로 인해 개발자와 사용자는 사용 편의성과 위험 관리 사이에서 균형을 맞춰야 하는 부담을 안게 됩니다.

섹터:
Halving 토큰
레이어 1
스마트 컨트랙트
출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
55
즐겨찾기에 추가
15
코멘트
관련 콘텐츠