더 이상 사용되지 않는 탈중앙화 금융 플랫폼인 아즈텍 커넥트(Aztec Connect)에서 일요일 공격자가 검증 기능을 악용하여 약 210만 달러 상당의 암호화폐가 유출되었습니다.
Aztec Labs는 일요일 X에 게시한 글에서 "Aztec Connect에 영향을 미치는 잠재적 취약점을 조사 중"이라고 밝혔으며, 약 210만 달러가 플랫폼의 스마트 계약에서 이체되었지만 현재 Aztec 네트워크의 사용자나 자산에는 영향을 미치지 않았다고 덧붙였습니다.
이번 공격은 디파이라마(defillama) 에 따르면 이번 달에 최소 12건의 다른 공격을 통해 도난당한 4400만 달러 상당의 암호화폐 중 가장 최근 사례입니다.
6월 들어 가장 큰 규모의 해킹 사건은 휴머니티 프로토콜(Humanity Protocol)의 개인 키 유출로, 6월 8일에 3천만 달러의 손실이 발생했으며, 그 전날에는 시스코인(Syscoin) 브리지(Syscoin Bridge)에서 가짜 증명(proof) 공격을 통해 800만 달러가 도난당했습니다.
암호화폐 보안 업체 블록섹은 공격자가 플랫폼이 거래를 검증하고 이더리움에서 정산하는 방식의 불일치를 악용했다고 밝혔습니다.
해당 보고서는 아즈텍 커넥트 컨트랙트의 검증된 거래가 "ZK 증명에 의해 강제되는 거래 집합에 효과적으로 구속되지 않아" 이더리움 상의 검증 경로 및 정산 로직이 "거래 목록을 다르게 해석할 수 있다"고 밝혔습니다.
공격자는 이더리움 상에서 검증 없이 계약이 가치를 입금하는 거래를 조작하여, 검증되지 않은 잔액을 생성하고 이를 인출할 수 있었습니다. 공격자는 이러한 방식으로 7개의 서로 다른 자산에 걸쳐 7차례 공격을 감행했습니다.
공격자는 이더리움( 이더리움(ETH) ) 909개, 다이(Dai) (다이(Dai)) 27만 개, 스테이킹된 래핑된 이더리움(ETH) 167개 및 기타 여러 암호화폐를 훔쳐 달아났습니다.
이번 공격으로 탈취된 자산 중 일부입니다. 출처: CertiK
Aztec Network는 이더리움 기반의 개인정보 보호에 초점을 맞춘 레이어 2 영지식 (ZK) 롤업 플랫폼입니다. Aztec Connect는 2022년에 DeFi 브리지로 출시된 이전 버전의 플랫폼입니다.
Aztec Connect는 2023년 3월에 서비스가 종료되었으며, 입금이 중단되고 팀은 차세대 Aztec Network로 자원을 이동했습니다.
"Aztec Labs는 시스템에 대한 관리자 권한이나 제어권을 보유하고 있지 않으며, 시스템을 일시 중지하거나 업그레이드할 수 없습니다."라고 해당 팀은 밝혔습니다.
암호화폐 개발자 "파람"은 아즈텍 커넥트의 스마트 계약이 "완전히 변경 불가능"해졌으며 더 이상 업그레이드하거나 일시 중지할 수 없다고 밝혔습니다.
"이번 사건은 방치된 DeFi 계약이 몇 년이 지나도 여전히 공격 대상이 될 수 있다는 사실을 다시 한번 상기시켜 줍니다."라고 그들은 말했다.
