[긴 트윗 (Long tweet)] DeFi 대출 프로토콜인 Drift가 10초 만에 2억 달러 이상의 손실을 입어 15개 이상의 프로젝트에 영향을 미쳤습니다.

avatar
Chainfeeds
이 기사는 기계로 번역되었습니다
원문 표시

체인피드 요약:

탈중앙화 금융(DeFi)의 모듈형 구조는 한때 업계 최대의 장점으로 여겨졌지만, 이제 그 장점은 도미노처럼 오히려 단점으로 증폭되었습니다.

기사 출처:

https://x.com/ChainCatcher_/status/2039546677699428765

기사 작성자:

체인 캐쳐(chaincatcher)

관점:

체인 캐쳐(chaincatcher): 오늘 새벽 1시경, DeFi 업계에서 또 다른 대형 보안 사고가 발생했습니다. 솔라나(Solana) 대출 프로토콜인 드리프트(Drift)가 해킹당해 단 10초 만에 2억 2천만 달러 이상의 사용자 자산이 도난당했습니다. 이 사건 이후 드리프트 토큰 가격은 40% 이상 급락하여 현재 FDV(예상 현금 가치)는 약 4,400만 달러에 불과합니다. 드리프트가 솔라나 생태계에서 중요한 역할을 하는 만큼, SOL과 JUP 등 관련 자산 또한 비정상적인 하락세를 보였습니다. 솔라나 생태계의 주요 대출 프로토콜 중 하나인 드리프트는 멀티코인 캐피털(Multicoin Capital), 폴리체인(Polychain), 점프 캐피털(Jump Capital) 등 유수의 기관 투자자로부터 5,200만 달러 이상의 융자 유치한 바 있습니다. 이번 공격은 단일 취약점을 이용한 것이 아니라, 다중 서명 제어권 불법 획득, 거버넌스 공격, 오라클 조작 등 여러 공격 방식이 복합적으로 작용한 결과입니다. 공격자들은 단일 서명 키를 장악하여 가짜 시장 생성, 가격 오라클 조작, 출금 제한 해제 등 일련의 중요한 작업을 단일 거래 내에서 수행했습니다. 특히 주목할 만한 점은 다중 서명 개인 키 유출에 내부 직원이 연루되었을 가능성이 있다는 사실로, 이는 사건의 심각성을 더욱 가중시키고 있습니다. 구체적인 공격 경로를 살펴보면, 문제는 이미 일주일 전부터 시작되었습니다. 당시 Drift는 기존 다중 서명 지갑에서 새로운 다중 서명 지갑으로 프로토콜 관리 권한을 이전했습니다. 새로운 지갑은 기존 다중 서명 지갑의 서명자 중 한 명이 생성했지만, 새 서명자 목록에 자신을 포함시키지 않았습니다. 이러한 설계 결함은 공격자에게 기회를 제공했습니다. 공격자는 먼저 기존 다중 서명 지갑에서 제안을 시작하여 프로토콜 관리자 권한을 자신이 장악한 지갑으로 이전했습니다. 이후, 새로운 다중 서명 지갑의 구조는 리스크 더욱 증폭시켰습니다. 5명의 서명자 중 단 한 명만이 기존 시스템의 서명자였고, 나머지는 모두 새로운 주소였으며, 제안 실행에는 5개 중 2개의 서명만 필요했고, 시간 제한 메커니즘도 없었습니다. 이른 아침, 유일한 기존 서명자가 관리자 권한을 공격자의 주소로 이전하는 제안을 시작했습니다. 또 다른 새로운 서명자가 곧바로 뒤따라 실행 조건을 충족했습니다. 시간 지연이 없었기 때문에 제안은 즉시 발효되었고, 공격자는 성공적으로 완전한 제어권을 확보했습니다. 전체 과정은 매우 빠르게 진행되어 개입이나 대응의 여지가 거의 없었으며, 다중 서명 설계 및 권한 관리의 치명적인 결함을 여실히 드러냈습니다. 관리자 권한을 획득한 공격자는 신속하게 차익 거래 작전을 시작했습니다. 먼저, Drift 플랫폼에 총 약 7억 5천만 개의 토큰 공급량을 가진 CVT 현물 시장을 생성했는데, 그중 6억 개를 공격자가 장악했습니다. 그런 다음, 공격자는 자체 오라클 데이터 소스를 배포하고 지정하여 프로토콜이 자신들이 조작한 가격을 읽도록 했습니다. 공격자들은 약 20건의 거래를 통해 사실상 가치가 없는 CVT의 가격을 인위적으로 부풀려, 오라클 입장에서는 포지션 수억 달러에 달하는 것처럼 보이게 했습니다. 이렇게 인위적으로 부풀려진 담보를 이용해 공격자들은 JLP, USDC, cbBTC와 같은 핵심 자산을 포함하여 프로토콜로부터 약 2억 2천만 달러에서 2억 8천만 달러 상당의 자산을 차입했습니다. 이 사건은 드리프트(Drift) 자체에 직접적인 영향을 미쳤을 뿐만 아니라, DeFi의 "모듈식 구조"를 통해 솔라나(Solana) 생태계 전반으로 빠르게 확산되었습니다. 가장 큰 피해를 입은 프로토콜 중 하나인 주피터(Jupiter)의 핵심 LP 자산인 JLP가 대량 인출되면서 유동성이 급격히 감소하고 시장에 공황이 발생했습니다. 또한 드리프트를 통합한 15개 이상의 프로토콜이 다양한 정도로 영향을 받았으며, 일부는 출금 기능을 중단했습니다. 결국, 빈번한 보안 사고로 인해 DeFi에 대한 시장의 신뢰가 무너지면서 일반 사용자들이 가장 큰 손실을 입게 되었습니다.

콘텐츠 출처

https://chainfeeds.substack.com

섹터:
점프 크립토
거버넌스
스테이블코인
출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠