이번 달 최소 14개의 DeFi 프로젝트가 해킹을 당했으며, 총 손실 금액은 2.5억 달러를 초과합니다

이 글은 링크 캡처의 오리지널 기사로, 저자는 구 욱, Alyson입니다.

올해 들어 DeFi 산업이 빠르게 발전하고 있으며, 많은 DeFi 프로젝트가 잇따라 등장하여 총 잠금 금액이 최고 900억 달러에 가까워졌습니다. 그러나 많은 프로젝트의 코드 감사가 엄격하지 않은 등의 이유로 이들은 많은 해커들이 노리는 공격 목표가 되었습니다. 특히 5월에는 DeFi 보안 사고의 빈도가 크게 증가했습니다.
링크 캡처 통계에 따르면, 올해 들어 DeFi 산업에서 총 27개 프로젝트가 해커의 공격을 받았으며, 이번 달에는 최소 14개 프로젝트가 해커의 공격을 받았습니다. 평균적으로 이틀마다 1개의 DeFi 프로젝트가 공격을 받았으며, 총 손실액은 최소 2.5억 달러로, DeFi 역사상 공격 빈도가 가장 높고 손실이 가장 큰 달로 기록되었습니다.
구체적으로 이번 달 해커의 공격을 받은 DeFi 프로젝트에는 BurgerSwap, Julswap, Merlin, AutoShark Finance, Bogged Finance, Pancake Bunny, Venus, FinNexus, bEarn Fi, EOS Nation, xToken, Rari Capital, Value DeFi, Spartan이 포함됩니다.
그중에서, 플래시 론이 가장 주요한 해커 공격 수법으로, 최소 7개 프로젝트가 이로 인해 공격을 받았습니다. BSC는 해커가 가장 활발히 공격하는 플랫폼으로, 최소 11회의 공격이 BSC 공공 체인에서 발생했습니다. 공격 금액은 일반적으로 상당히 크며, 최소 7개 프로젝트의 손실 금액이 1,000만 달러를 초과했으며, 가장 큰 Venus의 손실 금액은 1억 달러를 초과했습니다.
다음은 링크 캡처가 이번 달 14건의 DeFi 프로젝트 공격 사건에 대해 자세히 정리한 내용입니다:
1、BurgerSwap
손실 금액: 약 700만 달러
간략 설명: 5월 28일, BSC 기반의 AMM 프로젝트 BurgerSwap이 플래시 론 공격을 받아 432,874개의 BURGER가 도난당했습니다.
2、Julswap
손실 금액: 미상
간략 설명: 2월 28일, BSC 기반의 AMM 프로젝트 Julswap이 플래시 론 공격을 받아, 코인 가격이 최고 90% 하락했습니다.
3、Merlin
손실 금액: 약 68만 달러
간략 설명: 5월 26일, BSC 생태계 자동 수익 집계기 Merlin이 해커의 공격을 받았으며, 해당 프로젝트의 getReward 코드에 존재하는 취약점으로 인해 대량의 CAKE 토큰이 수동으로 Vault 계약으로 이전되었습니다. 이로 인해 약 59,000개의 MERL이 추가 발행되었고, 판매를 통해 240개의 ETH를 얻었습니다.
처리 방안: 팀은 사용자에게 보상 토큰 cMERL을 에어드롭할 예정이며, 해당 토큰 보유자는 보상 풀에서 BNB 보상을 받을 수 있습니다. 또한, 추가 개발 팀 자금이 소각 및 재구매 활동을 수행하는 데 사용되어 토큰 가격을 회복할 것입니다.
4、AutoShark Finance
손실 금액: 약 82만 달러
간략 설명: 5월 25일, BSC 기반의 고정 금리 프로토콜 AutoShark Finance가 플래시 론 공격을 받았으며, LP 가치 오류와 수수료 획득 수량 오류로 인해 SharkMinter 계약이 공격자의 기여를 계산할 때 매우 큰 값을 계산하여 SharkMinter 계약이 공격자에게 대량의 SHARK 토큰을 발행하게 되었습니다. 이로 인해 코인 가격이 급락하여 1.2달러에서 0.01달러로 빠르게 하락했으며, 공격자는 약 82만 달러의 이익을 얻었습니다.
처리 방안: 공식은 손상된 사용자에게 보상하기 위해 새로운 토큰 JAWS를 발행할 것이라고 밝혔습니다.
5、Bogged Finance
손실 금액: 300만 달러
간략 설명: 5월 23일, BSC 기반의 집계 거래 플랫폼 Bogged Finance는 해커가 BOG 토큰 계약의 스테이킹 기능 취약점을 이용해 플래시 론 공격을 했다고 발표했습니다. 해커는 Pancake Pair Swap 코드를 이용해 계약 검증이 완료되기 전에 스테이킹 수익을 인출하여 1,500만 개 이상의 BOG 토큰을 발행했습니다. 이 토큰의 대부분은 원래 BOG의 스테이커에게 분배될 예정이었습니다.
처리 방안: 새로운 코인을 발행하고 도난당한 BOG 토큰을 스테이킹 사용자에게 반환할 것입니다.
6、Pancake Bunny
손실 금액: 약 4200만 달러
간략 설명: 5월 20일, BSC 기반의 DeFi 수익 집계기 PancakeBunny가 플래시 론 공격을 받아 114,631개의 BNB와 697,245개의 BUNNY를 잃었습니다. 후자는 해커에 의해 대량으로 발행되고 매각되어 가격이 240달러에서 급락하여 한때 2달러 이하로 떨어졌습니다. CertiK 보안 팀의 조사에 따르면, PancakeBunny가 PancakeSwap AMM을 사용하여 자산 가격을 계산하기 때문에 해커가 악의적으로 플래시 론을 이용해 AMM 풀의 가격을 조작하고 Bunny의 토큰 발행 시 계산 문제를 이용해 공격을 성공적으로 수행했습니다.
처리 방안: PancakeBunny는 새로운 토큰 pBUNNY를 발행하고 보상 풀을 만들어 BUNNY 원래 보유자가 토큰 가격 급락으로 인한 손실을 보상받을 수 있도록 할 것입니다.
7、Venus
손실 금액: 1억 달러 초과
간략 설명: 5월 18일 저녁, BSC 기반의 DeFi 대출 플랫폼 Venus의 토큰 XVS가 대형 고래에 의해 두 배로 상승한 후, XVS를 담보 자산으로 하여 1억 달러 이상의 BTC와 ETH를 빌리고 이전했습니다. 이후 담보 자산 XVS의 가격이 급락하고 청산 위기에 처했으나, XVS 시장 유동성이 부족하여 시스템이 제때 청산하지 못해 Venus는 1억 달러의 대규모 손실을 입었습니다.
처리 방안: Venus는 외부 기관에 일부 XVS 토큰을 판매하여 플랫폼 손실을 보전할 것입니다.
8、FinNexus
손실 금액: 700만 달러
간략 설명: 5월 17일, 체인 상의 옵션 프로토콜 FinNexus가 해커의 공격을 받았으며, 해커는 FNX 토큰 계약 관리자의 개인 키를 복구하는 데 성공했습니다. 공격자는 3.23억 개 이상의 FNX를 발행한 후 중앙화 및 탈중앙화 거래소에서 판매하여 가격이 폭락했습니다.
처리 방안: FinNexus 팀은 새로운 코인을 발행하고 해커 침입 이전에 FNX를 보유한 모든 사용자에게 1:1로 보상할 것이라고 밝혔습니다. DEX의 유동성 제공자는 더 높은 손실을 입었기 때문에 추가 보상을 받을 것입니다.
9、bEarn Fi
손실 금액: 약 1086만 달러
간략 설명: 5월 16일, BSC 기반의 크로스 체인 DeFi 프로토콜 bEarn Fi의 bVaults의 BUSD-Alpaca 전략이 플래시 론 공격을 받아 풀에 있는 약 1086만 BUSD가 소진되었습니다.
처리 방안: bEarn Fi는 남은 저축 자금, 개발 자금, DAO 자금 및 프로토콜에서 발생한 일부 수수료로 구성된 보상 기금을 만들 것이라고 밝혔으며, 이후 잔액에 대한 스냅샷을 찍어 보상 계약을 배포할 것입니다.
10、EOS Nation
손실 금액: 1500만 달러
간략 설명: 5월 14일, EOS Nation의 플래시 론 스마트 계약이 재진입 공격을 받아 약 120만 EOS와 46.2만 USDT가 도난당했습니다.
처리 방안: flash.sx는 손실된 모든 자금이 eosio.prods의 안전한 통제 하에 있으며, 해커의 EOS 계정 권한을 변경하는 제안을 시작했다고 밝혔습니다. 제안이 통과되면 자금을 사용자에게 반환할 것입니다.
11、xToken
손실 금액: 약 2500만 달러
간략 설명: 5월 13일, DeFi 스테이킹 및 유동성 전략 플랫폼 xToken이 플래시 론 공격을 받아 xBNTa Bancor 풀과 xSNXa Balancer 풀의 유동성이 즉시 소진되어 약 2500만 달러의 손실이 발생했습니다.
처리 방안: xToken 팀은 XTK 공급 총량의 2%를 도난 손실 보전에 사용할 계획이라고 밝혔습니다.
12、Rari Capital
손실 금액: 1400만 달러
간략 설명: 5월 8일, DeFi 스마트 투자 자문 프로토콜 Rari Capital의 ETH 자금 풀에서 Alpha Finance Lab 프로토콜 통합으로 인한 취약점이 발생하여, 공격자가 보조 계약을 배포하여 ibETH의 ibETH 토큰 가격을 조작하여 Rari가 1400만 달러의 대규모 손실을 입었습니다.
처리 방안: Rari Capital은 팀 규모 확대에 사용될 200만 개의 예비 RGT를 DAO에 반환하여 공격 영향을 받은 사용자에게 보상하고 기여자에게 보상할 것입니다.
13、Value DeFi
손실 금액: 두 번에 걸쳐 총 1500만 달러
간략 설명: 이더리움과 BSC 기반의 DeFi 프로토콜 Value DeFi는 5월 5일과 5월 7일 각각 두 번의 공격을 받았습니다. 첫 번째 공격은 Value DeFi의 ProfitSharingRewardPool 계약에서 코드 취약점이 발생하여 vStake 풀이 영향을 받아 20만 BUSD와 8790 BNB가 손실되었습니다. 두 번째 공격은 Value DeFi의 vSwap 계약에서 코드 취약점이 발생하여 IRON Finance의 일부 풀과 제품이 공격을 받았습니다.
처리 방안: 팀은 보험 기금에서 8,530 VALUE와 다중 서명에서 122,463 VALUE, 총 130,994 VALUE를 사용하여 보상할 것이며, 나머지 251,702 VALUE는 팀의 VALUE로 보상할 것입니다.
14、Spartan
손실 금액: 3000만 달러
간략 설명: 5월 2일, BSC 기반의 합성 자산 프로토콜 Spartan Pools V1이 공격을 받았으며, 유동성 지분 계산 오류로 인해 공격자가 자금 풀에서 약 3000만 달러의 자금을 이전했습니다.
처리 방안: 새로운 SPARTA 토큰을 발행하고, 원래 발행되지 않은 2000만 개의 토큰을 공격으로 인해 손실을 입은 자금 풀 LP에게 보상할 것입니다.