오닉스 프로토콜, 알려진 코드 취약점을 이용한 380만 달러 DeFi 해킹 피해
목요일에 오닉스 프로토콜, 분산형 금융(DeFi) 플랫폼이 해킹당해 380만 달러의 손실을 입었습니다. 공격자들은 프로토콜의 코드에서 알려진 정밀도 문제를 악용했습니다. 이 문제는 컴파운드 V2 코드에서 유래되었습니다. 거의 비어 있는 시장을 조작하여 인위적으로 환율을 부풀리고 여러 암호화폐에서 수백만 달러를 빼돌릴 수 있었습니다.
**펙쉴드(PeckShield)**와 사이버스(Cyvers) 보안 업체가 의심스러운 거래를 발견하고 보고했습니다. 처음에 손실을 320만 달러로 추정했으나, 이후 380만 달러로 업데이트했습니다. 도난 자산은 다음과 같습니다:
- 410만 VUSD
- 735만 XCN
- 5,000 DAI
- 0.23 WBTC
- 50,000 USDT
이번 공격은 2023년 10월에 같은 프로토콜에서 발생한 해킹 사건과 유사합니다. 그때는 코드의 반올림 오류로 210만 달러가 손실되었습니다.
관련자들
- 오닉스 프로토콜: 사용자들이 암호화폐를 대출하고 빌릴 수 있는 DeFi 플랫폼.
- 공격자들: 코드 취약점을 악용한 신원 미상의 해커들.
- 펙쉴드와 사이버스: 해킹 사건을 발견하고 보고한 Web3 보안 업체들.
- 헥세게이트(Hexagate): 이러한 해킹을 방지하기 위한 권고안을 제공한 보안 업체.
사건의 발생 시기 및 장소
- 날짜: 공격은 목요일에 발생했습니다(특정 날짜는 제공되지 않음).
- 장소: DeFi 프로토콜인 만큼, 사건은 오닉스 프로토콜이 운영되는 블록체인 네트워크에서 발생했습니다.
사건이 발생한 이유와 방법
공격자들은 컴파운드 V2 코드에서의 정밀도 문제를 악용하여 거의 비어 있는 시장을 겨냥해 환율을 조작했습니다. 이 취약점은 시장의 총 공급량이 거의 제로일 때 조작할 수 있는 반올림 오류에서 발생합니다. 이 결함을 악용하여 공격자들은 예치한 자산보다 더 많은 자산을 인출할 수 있었습니다.
주요 내용
- 알려진 취약점 이용: 공격은 컴파운드 V2 코드의 알려진 정밀도 문제를 이용했으며, 코드 복사 시 취약점을 물려받는 리스크를 강조합니다.
- 상당한 재정적 손실: 오닉스 프로토콜은 380만 달러를 잃었고, 특히 VUSD 스테이블코인에서 큰 손실이 있었습니다. DeFi 프로토콜의 재정적 위험을 강조합니다.
- 반복된 공격: 이번은 2023년 오닉스 프로토콜에서 발생한 두 번째 주요 해킹 사건으로, 지속적인 보안 문제와 부족한 예방 조치를 나타냅니다.
- 보안 감사의 중요성: 이번 사건은 DeFi 프로젝트에 대한 철저한 보안 감사와 커뮤니티의 감독 필요성을 강조합니다.
- DeFi의 광범위한 영향: 해킹 사건은 암호화폐 산업에서 잇따른 해킹 사건에 추가되며, 알려진 취약점에 대한 DeFi 프로토콜 보안의 지속적인 도전을 강조합니다.
심층 분석
근본적인 취약점
오닉스 프로토콜 해킹 사건은 DeFi 생태계의 본질적인 위험을 상기시킵니다. 특히 기존의 취약점을 해결하지 않고 포크된 코드 위에 프로토콜이 구축될 때 더 그렇습니다. 공격자들은 이미 알려진 정밀도 문제를 악용했습니다. 이는 Hundred Finance와 Midas Capital 같은 다른 프로토콜에 대한 이전 공격에서도 악용된 바 있습니다.
컴파운드 V2 코드의 정밀도 문제
- 반올림 오류: 이 취약점은 시장의 총 공급량이 거의 제로일 때 조작할 수 있는 코드의 반올림 오류에서 발생합니다.
- 비어 있는 시장: 공격자들은 거의 비어 있는 시장을 겨냥하여 환율을 인위적으로 부풀리며, 자신이 예치한 것보다 더 많은 자산을 인출하게 됩니다.
커뮤니티 감독 부족
- 최소한의 거버넌스 참여: 취약한 PEPE 대출 시장을 만든 제안 22는 커뮤니티 지원이 제한적이었고, 대부분 한 주소로부터 11표만 받았습니다.
- 무시된 보안 권고: 보안 업체들은 새로운 시장을 시작할 때 cToken을 민팅 및 소각할 것을 권고했습니다. 이는 총 공급량이 제로에 도달하지 않도록 보장하는 것이었습니다. 이러한 권고는 간과된 것으로 보입니다.
예방 및 완화 전략
헥세게이트(Hexagate) 보안 업체는 다음과 같은 조치를 권장합니다:
- cToken 민팅 및 소각: 새로운 시장을 시작할 때 총 공급량이 제로에 도달하지 않도록 하여 환율 조작을 방지합니다.
- 커뮤니티 참여 증진: 거버넌스에 대한 커뮤니티 참여를 늘려 새로운 제안에 대한 감독과 검토를 강화합니다.
- 정기적인 보안 감사: 특히 다른 프로젝트에서 코드 포크 시 철저하고 정기적인 보안 감사를 실시합니다.
- 다층 보안 프로토콜 구현: 다중 서명 지갑과 이중 인증을 사용하여 보안 계층을 추가합니다.
DeFi 산업에 대한 더욱 광범위한 함의
오닉스 프로토콜에 대한 공격은 여러 중요한 문제를 강조합니다:
- 포크된 코드의 위험: 기존 취약점을 해결하지 않고 코드를 물려받는 것은 여러 플랫폼에서 보안 결함을 전파할 수 있습니다.
- 강화된 보안 조치의 필요성: DeFi가 성장함에 따라 공격의 정교함도 증가하고 있어, 더욱 견고한 보안 프로토콜이 필요합니다.
- 커뮤니티 거버넌스의 중요성: 적극적인 커뮤니티 참여는 잠재적 취약점의 조기 발견과 예방에 필수적입니다.
- 오픈 소스 코드의 도전 과제: 오픈 소스는 혁신을 촉진하지만, 누군가가 취약점을 제대로 해결하지 않으면 이를 악용할 수 있습니다.
알아두면 좋은 사실
- 오픈 소스의 위험: 오픈 소스 코드는 빠른 개발과 혁신을 가능하게 하지만, 원래의 결함이 수정되지 않으면 여러 프로젝트에서 취약점을 전파할 수 있습니다.
- 2023년 DeFi 해킹: 오닉스 프로토콜 해킹 사건은 2023년에 발생한 DeFi 해킹의 증가에 추가됩니다. 공격자들은 스마트 계약의 취약점을 악용해 수백만 달러를 빼돌렸습니다.
- cToken의 중요성: cToken은 컴파운드 기반 프로토콜에서 사용되는 이자 발생 토큰입니다. cToken의 적절한 처리는 오닉스 해킹에서 악용된 것과 같은 취약성을 방지하는 데 중요합니다.
- 커뮤니티 거버넌스: DeFi 프로토콜은 결정작성을 위해 커뮤니티 거버넌스를 종종 의존합니다. 낮은 참여는 보안 위험을 초래할 수 있는 제안이 통과될 위험을 증가시킵니다.
- 보안 업체의 역할: 펙쉴드와 사이버스와 같은 업체들은 의심스러운 활동을 감지하고 보고하여 해킹의 영향을 완화하는 데 중요한 역할을 합니다.
오닉스 프로토콜에서 380만 달러의 손실은 빠르게 발전하는 DeFi 환경에서 보안 프로토콜 강화와 커뮤니티 감독의 중요한 필요성을 일깨워줍니다. 산업이 계속 성숙해 나감에 따라 보안 및 견고한 거버넌스를 우선시하는 것이 자산 보호와 사용자 신뢰 유지에 필수적입니다.