# 420만 달러가 하룻밤 사이에 사라졌습니다! DUSD는 플래시 론(Flash loan) 대출이라는 표적 공격을 받았습니다.
DUSD
$0.99934
0%
9개의 KOL 의견
loading indicator
Loading..
심층 분석
76
16
코멘트
심층 분석
Powered by Asksurf.ai

DUSD 플래시 론(Flash loan) 공격 사건 분석 보고서

요약

2026년 1월 20일 새벽, 마키나 파이낸스의 DUSD/USDC 커브 풀이 플래시 론(Flash loan) 공격을 받았습니다. 공격자는 오라클 이용해 가격을 조작하여 약 420만 달러를 탈취했습니다. 공격자는 2억 8천만 USDC 규모의 플래시 론(Flash loan) 사용하여 여러 커브 풀의 가격을 조작하고, 무허가 운용자산(AUM) 업데이트 기능을 작동시켜 최종적으로 1,299 ETH(약 413만 달러)를 클레임. MEV 봇이 모든 수익을 가져갔고, DUSD는 일시적으로 0.078달러까지 하락했습니다. 마키나 파이낸스는 보안 모드를 활성화하고 유동성 공급자(LP)들에게 유동성을 회수할 것을 권고했습니다. 기초 자산에는 영향이 없었습니다.

핵심 분석

이벤트 타임라인

시간(UTC) 이벤트 세부
2026년 1월 20일 03시 40분 35초 공격 실행 블록 24,273,362, 가스 소비량 16,774,866
2026년 1월 20일 03:40+ MEV 프런트엔드 작동 주소 0xa6c2...에서 1,299 ETH(413만 달러)를 획득했습니다.
2026년 1월 20일 오전 보안 경고 PeckShieldAlert와 CertiKAlert가 공격 상세 정보를 공개했습니다.
2026년 1월 20일 오전 6시 42분 공식 성명 마키나 파이낸스는 해당 사건을 확인하고 안전 모드로 전환했습니다.
2026년 1월 20일 (낮) DUSD 디앵커링 가격은 사상 최저치인 0.078달러까지 떨어졌다가 0.98달러까지 부분적으로 회복했습니다.
2026년 1월 20일 종일 LP 철회 대량 의 유동성이 유출되면서 풀의 TVL이 크게 감소했습니다.

공격 메커니즘 설명

핵심 취약점 : MachineShareOracle의 권한 없는 updateTotalAum() 함수는 시간 지연이나 가격 검증 메커니즘 없이 누구나 현재 풀 잔액 기준으로 운용자산(AUM)/ 점유율 가격을 업데이트할 수 있도록 허용합니다.

공격 단계 :

  1. 플래시 론(Flash loan) 론 : Balancer와 Uniswap V3로부터 총 2억 8천만 USDC를 차입했습니다.

    • 잔액 조정: 160,590,920 USDC
    • 유니스왑 V3: 119,409,080 USDC

  2. 가격 조작 단계 :

    • 약 1억 7천만 USDC를 사용하여 여러 Curve 풀에 걸쳐 대규모 거래가 실행되었습니다.
    • 대상 풀: MIM/3Crv 풀, 3Crv 풀, DUSD/USDC 풀
    • 조작에 관련된 금액: 6억 5천만 달러 + 3Crv, 5천 2백만 달러 + MIM

  3. 오라클 악용 :

    • AUM을 새로 고치려면 MachineShareOracle.updateTotalAum() 을 호출하십시오.
    • 실행은 0x6b00_BeaconProxy 및 0xd1a1_BeaconProxy를 통해 프록시됩니다.
    • 부풀려진 점유율 는 조작된 자금 잔액 기준으로 계산되었습니다.

  4. 자금 클레임 :

    • 1차 라운드: 1억 1천만 USDC가 투자되었고, 99,206,722개의 DUSDUSDC LP 토큰이 민트, 9,215,229개의 DUSD가 클레임.
    • 2단계: 동일한 과정을 반복하여 1억 2,500만 DUSDUSDC LP를 민트 클레임.
    • 클레임 DUSD는 1억 1280만 USDC(인플레이션된 가격 기준)로 교환될 예정입니다.

  5. 이익 전환율 :

    • 유니스왑 V3에서 424만 USDC를 1,299 WETH로 교환하세요.
    • 압축을 풀었더니 1,299 ETH가 나왔습니다.

  6. MEV가 계약을 따냈습니다 :

    • MEV 로봇(0xa6c2...)이 리드인 단계에서 실행되어 1,299 ETH를 모두 획득했습니다.
    • 공격자가 기대했던 수익은 완전히 차단되었습니다.

관련된 주요 주소

유형 주소 설명하다
DUSD 토큰 0x5bc25f649fc4e26069ddf4cf4010f9f706c23831 디피달러(DUSD) ERC-20 계약
공격 풀 0x32e616f4f17d43f9a5cd9be0e294727187064cb3 DUSD/USDC 커브 스테이블스왑 풀
거래 공격 0x569733b8016ef9418f0b6bde8c14224d9e759e79301499908ecbcd956a0651f5 주요 취약점 악용 거래
공격자 주소 0x935bfb495e33f74d2e9735df1da66ace442ede48 공격 주소
MEV 로봇 0xa6c248384c5ddd934b83d0926d2e2a1ddf008387 블록 건설업체, 수익 창출
자금 흐름 1 0xbed2558a6275712a6fcad7c787234c6d64d5de25 약 330만 달러 상당의 이더리움(ETH)
자금 흐름 2 0x573d1e2f6bd96bc902a95e27d24bfb90522c910e 약 88만 달러 상당의 이더리움(276 ETH)

자금 흐름 분석

거래 내 주요 전송 내역 (총 54건의 ERC-20 전송 이벤트):

토큰 방향 수량 사용
미국 빌리다 2억 8천만 플래시 론(Flash loan) 원금
미국 주입 풀 2억 2천만 명 이상 가격 조작 및 클레임
DUSDUSDC LP 민트 2억 2400만 가격이 부풀려진 민트
DUSD 클레임 1840만 풀에서 과도하게 클레임
3Crv 조종하다 6억 5천만 명 이상 크로스풀 가격 조작
미임 조종하다 5200만 명 이상 보조 가격 왜곡
미국 교환 1억 1280만 과도하게 부풀려진 가격으로 교환됨
웨스 결정적인 1,299 이익 전환
이더리움 훔친 1,299 MEV 로봇 캡처

순손실 : 약 510만 USDC 상당액이 풀에서 클레임. 수수료와 슬리피지를 공제한 후 공격자는 약 410만 USD의 순이익을 예상했지만, MEV 봇에 의해 전액 가로채였습니다.

이후 자금 이동 : 2026년 1월 20일 UTC 기준, 도난당한 자금은 두 개의 지갑으로 분산되었습니다. 코인 혼합, 크로스체인 또는 거래소 입금은 관찰되지 않았으며, 자금은 온체인 추적 가능합니다.

영향 평가

DUSD 토큰의 영향 :

  • 가격 변동성 : 가격은 장중 최저치인 0.078달러(-92%)까지 급락했다가 0.98달러까지 부분적으로 회복했습니다.
  • 24시간 거래량 : 3,970만 달러로 급증
  • 코인 보유 분포 : 상위 10개 주소가 전체 코인의 약 98%를 보유하고 있으며, 상위 보유자(74.59%)는 보유량을 크게 매도하지 않았습니다.
  • 총 공급량 : 903,132.63 DUSD는 안정적인 수준을 유지하고 있습니다.

커브 풀 영향 :

  • TVL 유출 : 풀에 있는 DUSD 잔액 0이 되었으며, 공격 이전 TVL 중 약 5백만 달러가 완전히 유출되었습니다.
  • LP 행동 : 공격 이후 수십 건의 remove_liquidity 거래가 발생했으며, LP는 권고에 따라 긴급히 투자를 철회했습니다.
  • 유동성 고갈 : 전체 유동성의 80% 이상이 하루 만에 인출되었습니다.

협약 수준에서의 영향 :

  • 마키나 파이낸스의 약 1억 달러 규모의 총자산 가치(TVL) 중 나머지 부분은 영향을 받지 않았습니다.
  • DUSD Curve LP 포지션 에서 이벤트 격리는 기초 자산의 안전을 보장합니다.
  • 이는 단일 오라클 소스에 의존하고 권한 없는 자산운용관리(AUM) 업데이트를 사용하는 데 따른 시스템 리스크 드러냅니다.

공식 답변

Makina 재무 명세서 (2026-01-20 06:42 UTC):

  • 확인 이벤트는 DUSD Curve LP 포지션 에만 영향을 미칩니다.
  • 기초 자산은 안전합니다.
  • 모든 "머신"(프로토콜 구성 요소)에 대해 안전 모드가 활성화되었습니다.
  • 영향을 받는 LP는 즉시 유동성을 인출하는 것이 좋습니다.
  • 지속적인 업데이트와 투명성에 대한 약속

복구 작업 :

  • MEV 주소 보유자에게 온체인 메시지를 보내 환불 시 10%의 보상을 제공하세요.
  • 최신 보고서(2026년 1월 20일 기준)에 따르면, 회수된 자금은 없습니다.
  • 수사는 아직 진행 중입니다.

지역사회 및 안전 전문가 답변

보안기관 분석 :

  • PeckShieldCertiK는 플래시 론(Flash loan) 메커니즘과 오라클 취약점에 대한 자세한 내용을 담은 경고를 신속하게 발표했습니다.
  • BlockSec/Phalcon은 PhalconExplorer를 통해 시각화된 단계별 기술 분석 자료를 공개했습니다.
  • 전문가들은 SafeMath 라이브러리의 부재와 실시간 검증 기능의 부족을 주요 단점으로 지적합니다.

소셜 미디어 정서 :

  • (사건 발생 당일에는) 논의가 비교적 제한적이었고, 공식 발표가 주요 관심사였습니다.
  • 사용자 @CryptoPatel은 공격 메커니즘에 대한 자세한 분석을 제공하고 계약 승인 취소를 촉구했습니다. x.com
  • 전반적인 정서 신중하며, 광범위한 논란보다는 즉각적인 리스크 완화에 초점을 맞추고 있습니다.

산업 동향 논의 :

  • 이는 DeFi 오라클 조작 및 MEV 사전 실행의 지속적인 리스크 다시 한번 강조합니다.
  • 이로 인해 스테이블코인 풀에 대한 다층적인 보호 메커니즘과 강화된 감사 에 대한 요구가 제기되었습니다.
  • 이는 2026년에 발생한 다른 취약점 사건들과 연관되어 시스템적인 위협을 초래합니다.

결론적으로

이번 DUSD 플래시 론(Flash loan) 공격은 오라클 조작의 전형적인 사례로, 허가 없이 즉시 업데이트되는 메커니즘에 의존하는 DeFi 프로토콜이 정교한 공격 대면 얼마나 취약한지를 여실히 드러냈습니다. 공격자들이 치밀하게 설계한 다중 풀 가격 조작은 기술적으로는 약 410만 달러를 클레임 성공했지만, 결국 MEV 봇에 의해 차단당하면서 마치 "사마귀가 매미를 쫓지만 뒤에 꾀꼬리가 있는 줄 모르는" 아이러니한 상황이 되었습니다.

이번 사건은 DUSD 보유자와 Curve LP에게 직접적인 손실을 초래했지만, 마키나 파이낸스의 신속한 대응과 자산 분리 조치 덕분에 파급 효과를 막을 수 있었습니다. 이 사건은 디파이 보안의 다차원적인 과제를 다시 한번 보여줍니다. 디파이 보안은 계약 취약점 방지뿐 아니라 오라클 조작, 플래시 론(Flash loan) 공격, MEV 클레임 과 같은 복잡한 위협에 대한 대응도 요구합니다. 이번 사건은 업계 전체에 값비싼 경종을 울리는 계기가 되었으며, 시간 지연 오라클, 다중 소스 가격 검증, 접근 제어와 같은 보호 메커니즘의 필요성을 강조합니다.

Surf 에 대해 더 알아보기