Verichains 주간 보안 다이제스트 | 2023년 8월 1주차

이번 주의 다이제스트에서 DeFi 시장은 $46,000,000라는 엄청난 손실을 입었으며, CoinsPaid가 느낀 가장 큰 영향은 강렬하고 매혹적인 하이브리드 공격으로 인해 엄청난 $37,300,000의 손실을 입었습니다.

지난주 사건

🚨 프로젝트: Palmswap
⛓️ 체인: BSC
품목: 비즈니스 로직 결함
💸 손실 금액: $900,000

지난주 Palmswap은 $USDP 및 $PLP의 유동성 추가 및 제거 계산의 취약점으로 인해 $900,000에 대한 공격을 받았습니다. 처음에는 공격자가 유동성을 추가했을 때 두 토큰 간의 교환 비율이 1:1이었습니다.

그런데 공격자가 같은 양의 $PLP를 제거하려고 했을 때 문제가 발생했는데, 원래 추가된 금액보다 1.9배 $USDP로 교환할 수 있었기 때문입니다. 이러한 불일치로 인해 공격자는 시스템을 악용하여 불공정한 이점을 얻고 결함이 있는 유동성 메커니즘으로부터 이익을 얻을 수 있었습니다. 희한한 점은 플랫폼이 화이트햇과의 협상을 통해 자금의 80%를 회수했다는 것입니다.

🚨 프로젝트: 코닉 파이낸스
⛓️ 체인: ETH
품목: 읽기 전용 재진입
💸 손실 금액: ~4,200,000

Conic Finance는 지난주에 2건의 별도 공격을 받아 4,200,000달러 이상의 손실을 입었습니다. 첫 번째 사건에서 공격자는 Aave v2, Aave v3 및 Balancer의 플래시 대출을 활용하여 자금을 빌렸습니다. 그런 다음 이 자금을 WETH로 전환하고 ConicEthPool 에 반복적으로 입금했습니다. 공격자는 Curve LP 풀 계약에 존재하는 읽기 전용 재진입 취약점을 악용하여 get_virtual_price 함수의 오라클 가격 결과를 조작할 수 있었습니다. 공격자는 Curve 풀에서 remove_liquidity 함수를 호출하여 ETH 인출을 유발하고 재진입 공격을 수행할 수 있었습니다. ConicEthPool 에는 이러한 공격을 방지하기 위해 _reentrancyCheck 기능이 있었지만 WETH 토큰에 대한 검사를 잘못 처리하여 풀이 여전히 취약한 상태였습니다.

공격은 stETH/ETH(LidoCurvePool), cbETH/ETH 및 rETH/ETH의 세 가지 풀을 표적으로 삼았으며 처음 두 개는 ConicEthPool.handleDepeggedCurvePool() 을 통해 디페그 풀로 설정되었습니다. 공격자는 ConicEthPool 에서 자산을 성공적으로 인출하여 약 325만 달러의 손실을 입힌 것으로 추정됩니다.

.

두 번째 공격에서 Conic Finance는 MEV 봇의 샌드위치 공격을 받았습니다. Conic의 불균형 풀을 이용하여 Curve 풀에서 crvUSD와 USDC 간에 반복적으로 자금을 교환하고 입금하여 약 $934,000 상당의 자산을 도난당하여 약 $300,000의 이익을 얻었습니다.

Conic Finance는 이후 두 가지 공격을 모두 인정하고 사후 분석을 발표했습니다.

🚨 프로젝트: EraLend
⛓️ 체인: ZKSync
품목: 가격조작
💸 손실 금액: ~$3,400,000

EraLend는 가격 결정을 위해 ctoken이 SyncSwap에 의존하여 발생한 가격 계산 오류로 인해 약 $3,400,000에 대한 공격을 받았습니다. 공격자는 SyncSwap 코드의 재진입 취약점을 악용하여 오래된 보유고를 사용하여 c토큰을 빌리고 LP 토큰을 소각할 수 있었습니다. 재진입 공격을 실행한 후 준비금이 업데이트되어 공격자가 처음 빌린 것보다 적은 토큰으로 빌린 토큰을 상환할 수 있는 상황이 만들어졌습니다. 이러한 상환 불일치로 인해 공격자는 악용을 통해 이익을 얻을 수 있었습니다.

프로젝트는 취약점을 인정했지만 공격자에게 연락하지 못했습니다. 도난당한 자금을 성공적으로 회수한 공격자에 대한 정보에 대해서는 10%의 포상금이 지급됩니다.

🚨 프로젝트: $Carson
⛓️ 체인: BSC
품목: 가격조작
💸 손실 금액: ~14,400

$Carson이라는 토큰이 플래시론 공격을 받아 ~$14,400의 손실을 입었습니다. 공격자는 여러 풀에서 150만 BUSD의 플래시 대출을 받았습니다. 이 빌린 금액으로 $Carson 토큰 382,574개를 구매했습니다. 그 후, 공격자는 빌린 자금이 모두 고갈될 때까지 한 번에 5,000개의 토큰을 매각하는 일련의 빠른 토큰 판매에 참여했습니다. 공격자는 신중하게 판매를 조율하여 각 거래가 초기 구매 가격보다 높은 수익을 얻을 수 있도록 하여 운영을 통해 이익을 얻을 수 있도록 했습니다.

🚨 프로젝트: 코인페이드
⛓️ 체인: TRX, ETH, BTC
🔥 유형: 하이브리드 공격
💸 손실 금액: 37,300,000

악명 높은 블랙 햇 그룹인 Lazarus의 공격으로 CoinsPaid가 37,300,000에 악용되었습니다. 글을 쓰는 시점에서는 공격의 근본 원인이 공개되지 않았습니다. 그러나 공격자들은 소셜 엔지니어링, 주요 인사에 대한 공격적인 뇌물 수수 시도, 인터넷에 접속할 수 있는 다양한 애플리케이션을 통한 공격을 포함하는 하이브리드 공격을 사용하여 거래를 지원하는 CoinsPaid의 인프라를 손상시키고 거래 데이터를 수정한 것으로 언급되었습니다.

CoinsPaid는 이후 고객 손실 없이 볼륨의 80%를 복원했습니다.