암호화폐, DeFi 해킹이 4월에 증가 – Yearn 계약 취약점, MEV 봇 자금 유출, Euler 및 Sushi 복구 업데이트

PeckShield는 목요일 이른 시간에 비보관형 머니 마켓 프로토콜 Aave와 DeFi 수익 농업 플랫폼 Yearn Finance가 익스플로잇에 영향을 받았다고 보고했습니다. 블록체인 보안 팀은 잘못 구성된 yUSDT가 이 침해를 초래했으며, 악의적인 행위자가 $10K USDT에서 상당량의 yUSDT를 민팅할 수 있게 했다고 추정했습니다.

Yearn Finance가 최신 DeFi 해킹 사건에 연루됨

PeckShield가 공유한 초기 평가에 따르면, ‘잘못 구성된’ 취약점을 이용해 무한 민팅을 수행한 개인/팀이 Dai(DAI), Tether(USDT), USD Coin(USDC), Binance USD(BUSD), Tru USD(TUSD) 토큰을 합쳐 약 $11 million 규모로 현금화했습니다. Aave 통합 담당자 Marc Zeller의 트윗 업데이트가 사건을 확인했으며, 12월 22일부터 동결된 프로토콜 버전 1만 영향을 받았다고 명확히 했습니다. Yearn Finance 팀도 별도의 게시물에서 사용자가 이 사건을 인지하고 있음을 알렸습니다.

우리는 Vaults v1 및 v2 이전의 구식 계약인 iearn 문제를 조사하고 있습니다. 이 문제는 iearn에만 해당되는 것으로 보이며 현재 Yearn 계약이나 프로토콜에는 영향을 주지 않습니다. iearn은 YFI 이전에 존재한 불변 계약으로 2020년에 사용 중단되었습니다. 업그레이드 가능한 전략을 가진 Vaults v1도 2021년에 사용 중단되었습니다. 영향을 받았다는 징후는 없습니다. 현재 버전인 v2 Vaults도 영향을 받지 않습니다.

특히, 플래시 론 익스플로잇은 예상치 못한 결과를 낳았습니다 – Aave 사용자의 USDT가 상환되었으며, 온체인 기록에 따르면 Otter Sec와 Aave와 연관된 다른 팀들이 공격을 분석하는 데 협력했습니다. DeFi 추적 플랫폼 Nansen은 언급했듯이 공격자가 수익을 세 개 주소로 보냈다고 밝혔습니다. 온체인 데이터에 따르면 익스플로잇자는 도난된 토큰의 상당 부분을 차지하는 1,000 ETH를 Tornado Cash에 입금했으며, 이는 흔적을 지우기 위한 것으로 보입니다. 두 번째 지갑은 470만 DAI와 250만 USDC 스테이블코인을 받았습니다. Yearn Finance 대출 플랫폼에 대한 익스플로잇은 올해 현재까지 보고된 여러 유사 사건들의 연속입니다.

해커와 사기꾼이 1분기에 투자자들을 $452M로부터 착취, 회수율 29%

블록체인 데이터 제공업체 Chainalysis는 이전에 DeFi 분야 해킹이 2022년 전체 암호화폐 부문 $38억 손실 중 82%를 차지했다고 보고했습니다. 최근 동일한 주제에 대한 업데이트에서 안티바이러스 및 앱 제공업체 De.Fi는 최근 종료된 분기에 사이버 범죄자들이 $452 million을 약탈했다고 관찰했습니다. 규모는 크지만, 이는 전년 동기 $13 billion 손실에 비해 크게 감소한 수치입니다. 후자의 보고서는 1분기 손실의 거의 절반이 3월 첫 3주에 발생했으며, 3월 13일 Euler Finance에 대한 플래시 론 공격이 분기 내 최대 손실인 $197 million을 초래했다고 강조했습니다.
블록체인 기반 플랫폼인 BonqDAO와 AllianceBlock은 2월 초에 스마트 계약 해킹을 당해 $120 million을 잃었습니다. 한편, CoinDeal 투자자들을 대상으로 한 $45 million 사기 의혹, Monkey Drainer의 $16.5 million 피싱 공격, 그리고 Platypus Finance에 대한 $8.5 million 플래시 론 공격이 이번 분기 상위 다섯 주요 익스플로잇 목록을 완성했습니다.

보안 침해가 FOMO에 빠진 초보자를 노림

발생 빈도 측면에서 스마트 계약 익스플로잇이 가장 흔한 공격 유형으로 17건을 차지했으며, 그 다음으로는 8건의 러그 풀 사례가 보고되었습니다. 플래시 론 익스플로잇은 계속해서 급증했으며, 해당 기간에 $200 million 손실에 기여했습니다. De.Fi는 공격 벡터 측면에서 토큰이 악의적인 행위자들의 선호 선택임을 명확히 추정했습니다 – 토큰은 실행이 간단하고 기회를 놓칠까 두려워하는 초보자들의 취약점을 노립니다.
대출 및 차입이 주요 표적이었으며, 비록 5건에 불과했지만 순손실은 $336 million에 달했습니다. 체인 중에서는 BNB가 18건의 공격에 노출되어 가장 큰 피해를 입었습니다. 회수 측면에서는 도난된 자금 중 $130 million이 피해자에게 반환되었지만, 이는 전년 동기 대비 회수율이 감소한 것으로, 전년에는 $1.29 billion 중 40%가 회수되었습니다.

SafeMoon 버그 관련 익스플로잇

한 건의 고립된 사건에서 SafeMoon 플랫폼은 최근 배포된 업그레이드에 포함된 공개 소각 기능을 통해 3월 29일에 침해된 것으로 추정됩니다. 공격자는 이 버그 기반 허점을 이용해 손상된 SFM WBNB 유동성 풀에서 최대 27,000 BNB 코인을 탈취했습니다. 익스플로잇자는 메시지를 남겼습니다, “Hey relax, we are accidently frontrun an attack against you, we would like to return the fund, setup secure communication channel, let’s talk.” SafeMoon은 지난 주 트윗을 통해 거래가 플랫폼에서 재개되었다고 밝혔습니다.

4월 5일 업데이트에서는 토크노믹스 개선 사항을 일부 설명하고, 업그레이드된 SWaP 인터페이스가 배포되었다고 전달했습니다.

“우리는 LP 자금 회복 작업을 계속하고 있습니다 […] 큰 진전을 이루었으며 모든 사용자가 정상 영업으로 돌아갈 수 있도록 열심히 노력하고 있습니다,” 라고 SafeMoon은 이번 주 최신 커뮤니케이션에서 말했습니다.

4월의 DeFi 보안 침해

이번 달 초, 다중 체인 브리지 Allbridge는 4월 2일 공격을 받았습니다. 해커는 유동성 제공 및 스와핑 기술을 이용해 풀 가격을 상승시켜 자금을 탈취했습니다. 이는 해커가 유동성 제공자와 스와퍼 역할을 동시에 수행함으로써 Allbridge의 BNB Chain 풀 스와프 가격을 조작할 수 있었기 때문입니다.

크로스체인 프로토콜 Allbridge가 익스플로잇당함

스마트 계약 감사기관 CertiK는 크로스체인 프로토콜이 최대 $549,874를 잃었다고 보고했습니다. 반면 블록체인 보안 업체 PeckShield는 총 $573,000가 익스플로잇당했으며, 이는 BUSD $282,889와 USDT $290,868에 해당한다고 추정했습니다. 당시 Allbridge는 파트너 및 커뮤니티와 협력해 소셜 네트워크 전반에 걸쳐 해커를 추적하고 책임을 물으려 하고 있다고 밝혔습니다. 프로토콜은 해커가 화이트 햇으로 나설 경우 현상금과 법적 면책을 제공해 탈취된 자금을 반환하도록 장려했습니다.

1,500 BNB 반환

해커는 이 옵션을 선택한 것으로 보이며 1,500 BNB($465,000)를 반환했으며, 이는 영향을 받은 개인들의 정산을 돕기 위해 BUSD로 전환되었습니다. 나머지 탈취된 현금은 화이트 햇 현상금으로 남겨졌습니다. Allbridge 팀은 두 번째 공격자도 동일한 기법을 사용해 자금을 탈취했으며 아직 합의를 논의하지 않았다고 언급했습니다 – Allbridge는 해당 익스플로잇자의 지갑 주소를 공유했으며, 잔액은 0.97 BNB($302.5)였습니다. 화요일에 Allbridge는 트윗을 통해 4월 9일까지 제출된 청구 건에 대한 첫 번째 회수 지급 라운드를 완료했으며, 미해결 문제가 있는 이들에게 보상 절차를 진행하도록 촉구했습니다.

SushiSwap 익스플로잇의 여파

다른 사건에서 블록체인 보안 및 정보 기업 PeckShield는 일요일 초에 SushiSwap이 익스플로잇당했으며, 트위터 사용자 oxSifu가 약 $3.3 million을 잃었다고 보고했습니다. 보안 업체와 SushiSwap 수석 요리사 Jared Grey는 모두 영향을 받은 사용자들에게 모든 체인에서 권한을 취소하도록 요청했습니다. 또한, 이번 공격은 최근 4일 이내에 DEX를 사용한 사람들에게 영향을 미친 것으로 보입니다. 이 익스플로잇은 거래 라우팅을 담당하는 SushiSwap의 ‘RouterProcessor2’ 계약에 영향을 주었습니다. PeckShield에 따르면 버그는 ‘approve’ 메커니즘과 관련되었습니다.

‘Approve 관련’ 버그로 일부 SushiSwap 사용자가 손실

사용자들이 이 악성 계약을 승인함으로써 소유자의 승인을 받지 않고도 익스플로잇자가 사용자 토큰을 탈출시킬 수 있게 되었으며, 이를 ‘yoink’라고 부릅니다. The Block Research의 분석가 Brad Kay에 따르면, 초기 공격자는 화이트 햇 해커로 보이며 ‘yoink’ 기능을 이용해 SushiSwap 라우터 계약을 100 ETH 규모로 익스플로잇했으며, 이후 두 번째 인물이 동일한 계약을 이용해 약 1,800 ETH를 ‘notyoink’ 기능으로 탈취했습니다.

복구 노력

Grey는 업데이트에서 oxSifu가 잃은 자산 중 300 ETH 이상이 회수되었으며, 추가로 700 ETH 이상을 회수할 계획이라고 확인했습니다. SushiSwap CTO Matthew Lilley는 여러 구조 작업이 계속 진행 중이며, 사용자가 승인 내역을 재검토하고 토큰에 허용된 악성 주소를 찾아 차단할 것을 촉구했습니다. 그럼에도 그는 RouterProcessor2에 대한 노출이 프런트엔드에서 차단되어 유동성 제공자와 스와프 활동이 안전하므로 Sushi Protocol을 사용해도 안전하다고 안심시켰습니다.

피해자 전액 보상

Sushi 책임자는 Discord에서 팀이 프로토콜의 Merkle Distributor 계약에 있는 베스팅 토큰을 위한 청구 웹사이트를 출시할 예정이라고 밝혔습니다. 해당 사이트는 4월 23일 청구 만료일까지 운영되며, 그 이후 청구되지 않은 SUSHI 토큰은 SushiSwap 금고로 전송됩니다. 수요일에 공유된 이후 업데이트에서 이더리움 기반 탈중앙화 거래소는 영향을 받은 청구자들에게 반환할 계획임을 나타냈습니다.
“귀하의 자금이 화이트햇 계약에 보관되어 있다면, 이는 보안 전문가가 자금을 수집했으며 안전하고 곧 청구 가능하다는 의미입니다. 귀하의 자금이 화이트햇 계약에 없을 경우, 이메일을 제출하거나 Discord에서 티켓을 열고 손실된 자금에 대한 거래 ID와 블록체인 데이터를 포함해야 합니다. 블랙햇 자금은 처리에 더 오래 걸리며, 팀이 청구를 검증하는 온체인 데이터를 수동으로 확인하고 그에 따라 지급해야 하기 때문입니다,” SushiSwap이 트윗했습니다.

Ethereum MEV 봇 공격

또 다른 사건에서, 악성 검증자가 4월 3일 발생한 Ethereum MEV 봇 익스플로잇을 통해 $25 million을 탈취했습니다. 여러 Ethereum 최대 추출 가치(MEV) 봇은 차익거래자와 트레이더가 이익 기회를 최적화하도록 돕는 역할을 하는데, 복합적인 공격의 피해자가 되어 악성 검증자에게 $25 million을 잃었습니다.

발생한 일

CertiK는 8건의 MEV 거래가 표적이 되었으며, 이들은 샌드위치 트레이드를 실행하고 있었다고 설명했습니다 – 이는 토큰을 획득하려는 트레이더를 포착하고 그 사이에 끼어들어 이익을 챙기는 방식입니다. 이 모든 사건이 단일 이더리움 블록 6964664 내에서 발생했으며, CertiK는 샌드위치 트레이드가 소량의 토큰으로 시작해 수백만 토큰을 교환할 때까지 악성 검증자가 역거래를 대체하고 있었다고 언급했습니다.

총 $25.39 million가 잘못된 손에 넘어갔으며, 보안 업체가 게시한 세부 내역은 64.9 WBTC, 7,460.8 WETH, 5,297,649.9 USDC, 3,027,396 USDT, 그리고 1,698,384 DAI였습니다. 작성 시점에 이 자금은 주로 세 개의 지갑에 보관되고 있습니다. CertiK는 이를 사상 최대 규모의 MEV 봇 익스플로잇 중 하나라고 평가했으며, 마지막으로 큰 규모의 해킹은 2022년 9월에 발생했으며, 봇 취약점으로 인해 800 ETH의 MEV 차익이 도난당했습니다.

동시에 블록체인 감사기관 OtterSec는 공격자가 2주 이상 전에 지갑을 미리 충전해 두었기 때문에 사전에 계획된 공격이라고 평가했습니다. CertiK는 봇이 노드 검증자를 악의적인 것으로 식별하지 못했으며, 이 취약점이 검증자들 사이의 권력 집중화와 연관되어 있다고 판단했습니다.

Flashbots가 기능 수정 적용

Flashbots는 이더리움의 주요 MEV 프로그램인 MEV‑Boost의 창시자로서, 이후 유사한 문제가 재발하지 않도록 조치를 취했습니다. 팀은 릴레이어(블록 빌더와 검증자 사이의 신뢰 중개자)가 블록에 서명하고 제안자에게 전달되기 전에 Beacon Chain에 게시하도록 요구하는 새로운 기능을 구현했습니다. 이 단계는 이전에 없던 절차로, 제안자가 릴레이에서 받은 내용에서 벗어날 가능성을 줄이는 데 도움이 됩니다. 또한 CertiK는 CoinTelegraph에 다른 MEV 탐색자들이 샌드위치 트레이딩을 포함한 비원자 전략에 참여하기를 꺼릴 수 있다고 전했습니다, 왜냐하면 이들이 주요 표적으로 보이기 때문입니다.

Tether가 MEV 익스플로잇과 연관된 주소를 블랙리스트에 추가

이번 주, 스테이블코인 발행사 Tether는 4월 10일 트윗에서 최근 MEV 익스플로잇과 연관된 ‘Sandwich the Ripper’ 주소를 차단했다고 밝혔습니다. 해당 Tether 주소는 $3 million의 USDT를 보유하고 있었으며, 이제는 이동할 수 없습니다. 익스플로잇자는 $14.3 million 규모의 Wrapped Ethereum(WETH)과 $3.6 million 이상의 기타 자산을 포함한 더 큰 금액을 보유하고 있습니다.
Tether는 선의와 합리적인 근거에 따라 행동한 것으로 보였습니다. 그럼에도 이 결정은 암호화폐 분야에서 “나쁜 선례”를 만든다고 믿는 일부 집단으로부터 비판을 받았습니다. Tether의 차단 조치는 거래에 대한 검열로 해석될 수 있으며, 스테이블코인 발행사가 중앙집권적 권한을 행사한다는 의미를 내포합니다. 비판자들은 권력 남용 가능성과 DeFi 분야에 미치는 영향을 우려했습니다.

Euler, 모든 도난 자금 반환 협상 후 상환 개시

Euler Finance는 이번 주에 지난달 도난된 $197 million 규모의 암호화폐에 대한 협상 후 최종 상환 차수를 받았다고 밝혔습니다. 프로토콜은 회수 가능한 모든 자금이 복구되었으며, 해킹 정보 제공에 대한 $1 million 보상 프로그램을 사실상 종료했다고 말했습니다. 블록체인 분석 업체 Arkham Intelligence는 이 무허가 대출 프로토콜이 월요일에 10,580 ETH(약 $19 million)와 세 건의 거래에 걸쳐 추가로 $12 million 규모의 DAI를 받았다고 확인했습니다.
3월 21일 사건 이후, Euler는 도난 책임자에게 $19.7 million(도난액의 10%) 보상을 제안했습니다. 또한, 남은 90%의 도난 자금이 반환되지 않을 경우 공격자에 대한 정보를 제공하는 사람에게 $1 million 보상이 주어질 것이라고 경고했습니다. 초기에는 공격자가 Tornado Cash를 통해 $1.8 million를 세탁했지만, 3월 18일부터 자금을 반환하기 시작했으며, 첫 반환액은 $1.8 million였습니다. 익스플로잇자는 계속해서 자금을 반환했으며, 가장 큰 반환은 3월 24일에 58,737 ETH(약 $102 million)였습니다.
작성 시점에 95,556 ETH와 43 million DAI가 회수된 반면, 1,100 ETH는 제재된 코인 믹서로 전송되어 회수 불가능한 것으로 판단되었습니다. 이 와중에 해커는 약 2주 전 온체인 메시지 시리즈에서 사과하고 남은 모든 자금을 포기하겠다고 약속했습니다. 월요일에 다시 전송된 토큰으로 해킹으로부터 회수된 총 자금은 $177 million을 넘어섰습니다. 이는 Euler 팀이 제공한 10% 현상금을 고려한 후 예상 회수 가능한 자금의 90%에 해당합니다.
이더리움 기반 무보관 대출 프로토콜은 이후 사용자가 회수된 자금을 상환하도록 허용했으며, 이는 모든 혼란을 수반한 플래시 론 익스플로잇을 종결시켰습니다. 해킹으로 인한 손실에 대해 $2.4 million 청구금을 지급한 DeFi 보험사 Nexus Mutual은 Euler에게 환불을 요구했습니다. Nexus는 Euler를 지원해 손실을 보전했으며, 자금 반환으로 인해 실제로 자산을 잃은 사용자는 없었습니다.

기타 보고된 보안 침해 사건

메타버스 프로젝트인 MetaPoint는 이번 주에 공격자에게 2,515 BNB를 탈취당했다고 보고했습니다. PeckShield에 따르면 해커는 자금을 Tornado Cash로 보냈습니다. 해당 메타버스 프로젝트는 텔레그램을 통해 사건을 확인했으며, 모든 운영을 중단했다고 덧붙였습니다.
Terraport Finance도 출시 후 불과 2주 만에 보안 침해의 피해자로 보였습니다. 4월 10일에 나온 보고서에 따르면 프로토콜의 유동성 지갑이 2 million(달러) 규모로 해킹당했다고 상세히 밝혔습니다. Terraport는 공유된 업데이트에서 사건을 인지했으며, 플랫폼을 확보한 후 발행자를 조사할 계획이라고 말했습니다.
DeFi 외부에서, 한국 암호화폐 거래소 GDAC는 이번 주에 거의 $14 million 규모로 해킹당했다고 밝혔습니다. 거래소는 필요한 복구 작업을 수행하기 위해 입출금을 일시 중단했으며, CEO 한승환은 손실된 자금이 전체 보관 자산의 약 20%를 약간 초과한다고 확인했습니다. 해커는 4월 9일(한국 표준시) 초에 거래소의 일부 핫 월렛을 장악한 뒤, 자금을 자신이 통제하는 지갑으로 이동한 것으로 알려졌습니다. GDAC는 약 61 BTC, 350.5 ETH, 220,000 USDT, 그리고 10 million의 WEMIX 게임 화폐를 잃었습니다.
출금 서비스는 여전히 이용 불가능합니다: 한승환은 거래소가 이를 조사하는 데 전념하고 있으며 현재 중단된 서비스 재개 계획을 아직 마련하지 못했다고 말했습니다. GDAC 공격은 올해 최초의 대형 중앙화 암호화폐 거래소 해킹으로, 지난 1월 Crypto.com이 1,500 million 달러 이상을 해킹당한 지 12개월이 조금 넘은 시점에 발생했습니다.

HTX와 Gala Games, pGALA 사건 피해자에게 $50 million 보상 약속

Gala Games와 암호화폐 거래소 HTX가 전자의 Web3 생태계를 강화하기 위해 최근 협업한 뒤, 두 회사는 지난 11월 플랫폼에서 발생한 유틸리티 토큰 사기로 손실을 입은 GALA 토큰 보유자들에게 최대 $50 million 규모의 암호화폐 및 소프트웨어 라이선스를 배포하는 계획을 발표했습니다.
두 회사는 발행될 $50 million 규모의 보상을 동등하게 나눌 예정이며, HTX는 현금 및 사용자 혜택으로 15 million USDT와 10 million 주식에 해당하는 $25 million를 제공할 것입니다. 반면 Gala Games는 $25 million 상당의 노드 라이선스를 발행하며, 프로그램은 이번 주에 시작될 예정입니다.
문제의 사건은 해커들이 pNetwork가 BNB Chain에서 발행한 GALA의 래핑 토큰인 pGALA를 $1 billion 규모로 민팅한 것과 관련됩니다. 이 토큰이 PancakeSwap에 매도되면서 공격자들은 유동성 풀에서 $4.5 million를 탈취했고, GALA 토큰 가격에 큰 타격을 입혔습니다.

pNetwork에 대한 소송이 진행 중

GameFi 프로젝트는 지난달 공격에 대한 역할을 이유로 pNetwork에 대한 법적 조치를 시작했습니다. 소송은 이번 사건이 Gala Games에 $25 million의 손해를 입혔다고 주장했으며, 위반과 관련된 실비 $27.7 million를 청구해 추가적인 손해배상, 징벌적 손해배상 및 기타 구제책을 요구했습니다. 또한 플랫폼은 다른 피해자들에게 법무팀에 연락해 보상 청구에 동참하도록 초대했습니다. HTX는 최근 발표에서 이러한 노력을 지원한다고 밝혔습니다. 유리한 판결이 내려질 경우, 법률 비용을 제외한 모든 손해배상액은 GALA 토큰으로 전환된 뒤 소각될 것입니다.