2021년 DeFi 보안 사고 전체 기록 (6월 23일 업데이트)

31、 Eleven Finance

손실 금액：460만 달러

간단한 설명：6월 23일, BSC 기반의 수익 집계기 Eleven Finance에서 Nerve와 관련된 기관 총알 풀에 대해 플래시 론 공격이 발생했습니다. 이번 공격은 Eleven Finance의 Emergencyburn 계산 잔액 오류에서 비롯되었으며, 소각 메커니즘이 실행되지 않아 공격자는 약 460만 달러를 획득했습니다. 이 공격자는 Impossible Finance 공격자와 동일한 인물입니다.

30、impossible Finance

손실 금액：50만 달러

간단한 설명：6월 21일, BSC 기반의 DeFi 프로젝트 Impossible Finance가 플래시 론 공격을 받았습니다. cheapSwap 함수에서 K 값 검사가 이루어지지 않아 공격자는 한 번의 교환 과정에서 여러 번의 교환 작업을 통해 추가 토큰을 얻을 수 있었습니다.

처리 방안：공격 전 유동성 풀에 충전한 모든 사용자에게 100% 보상을 제공합니다.

29、Visor Finance

손실 금액：50만 달러

간단한 설명：6월 20일, Uniswap V3 기반의 DeFi 프로젝트 Visor Finance가 공격을 받았으며, Hypervisor가 공격 중 파괴되어 공격자가 관리 계정에 접근할 수 있게 되어 유동성 제공자의 포지션에 아직 입금되지 않은 자금에서 자금을 인출할 수 있었습니다.

처리 방안：공식적으로 자금 풀에서 사용자에게 50만 달러의 손실을 지급합니다.

28、Alchemix

손失 금액：866만 달러

간단한 설명：6월 16일, 미래 수익 토큰화 프로토콜 Alchemix의 alETH 계약에서 보안 문제가 발생했습니다. alETH 풀 스크립트 배포 오류로 인해 사용자가 4:1의 담보 비율로 alETH를 빌린 후 상환할 부채가 없었고, 약 2000개의 ETH 부채 한도가 해제되어 새로운 alETH를 다시 발행할 수 있게 되었습니다. Alchemix가 금고 배열에서 잘못된 인덱스를 사용하여 transmuter 지원 프로토콜 메커니즘의 자금이 완전히 사용자 부채 상환에 사용되었습니다.

27、PancakeHunny

손실 금액：10만 달러

간단한 설명：6월 3일, BSC 기반의 PancakeHunny 프로젝트가 해커 공격을 받았습니다. 이번 해킹 사건에서 해커가 사용한 공격 기법은 이전 PancakeBunny 공격과 유사하며, 짧은 시간 내에 대량의 토큰을 발행하고 시장에 던져 HunnyToken의 가격이 폭락했습니다.

26、BurgerSwap

손실 금액：약 700만 달러

간단한 설명：5월 28일, BSC의 AMM 프로젝트 BurgerSwap이 플래시 론 공격을 받아 432874개의 BURGER가 도난당했습니다. 공격자는 PancakeSwap WBNB-BUSDT 자금 풀에서 6,047.13 WBNB를 플래시 론으로 빌린 후 BurgerSwap에서 6,029 WBNB를 92,677 BURGER로 교환하고 가짜 코인을 만들어 공격했습니다.

25、Julswap

손실 금액：700만 달러

간단한 설명：5월 28일, BSC 기반의 AMM 프로젝트 Julswap이 플래시 론 공격을 받았으며, 공격자는 플래시 론으로 70000개의 JULB 토큰을 빌린 후 JULB-WBNB 거래 쌍을 호출하여 1400개의 BNB를 얻었습니다. 이후 공격 계약이 JulProtocolV2 계약 함수를 호출하여 담보 채굴을 진행했습니다. 마지막으로 이 WBNB를 지갑 주소로 전송하여 플래시 론 차익 거래를 완료했습니다.

처리 방안：업데이트된 버전을 출시하고 JULB 토큰을 재구매하여 사용자에게 보상합니다.

24、Merlin

손실 금액：약 68만 달러

간단한 설명：5월 26일, BSC 생태계 자동 수익 집계기 Merlin이 해커 공격을 받았습니다. 해당 프로젝트의 getReward 코드에 존재하는 취약점으로 인해 대량의 CAKE 토큰이 Vault 계약으로 수동 전송되었으며, 이로 인해 약 59,000개의 MERL이 추가 발행되었고 240개의 ETH를 판매하여 얻었습니다.

처리 방안：팀은 사용자에게 보상 토큰 cMERL을 에어드랍할 예정이며, 해당 토큰 보유자는 보상 풀에서 BNB 보상을 받을 수 있습니다. 또한, 추가 개발 팀 자금은 토큰 가격 회복을 위한 소각 및 재구매 활동에 사용됩니다.

23、AutoShark Finance

손실 금액：약 82만 달러

간단한 설명：5월 25일, BSC 기반의 고정 금리 프로토콜 AutoShark Finance가 플래시 론 공격을 받았습니다. LP 가치 오류와 수수료 획득 수량 오류가 발생한 상황에서 SharkMinter 계약은 공격자의 기여를 계산할 때 매우 큰 값을 계산하여 SharkMinter 계약이 공격자에게 대량의 SHARK 토큰을 발행하게 되었고, 이로 인해 가격이 1.2달러에서 0.01달러로 급락하여 공격자는 약 82만 달러를 획득했습니다.

처리 방안：공식적으로 새로운 토큰 JAWS를 발행하여 피해를 입은 사용자에게 보상할 것이라고 밝혔습니다.

22、Bogged Finance

손실 금액：300만 달러

간단한 설명：5월 23일, BSC 기반의 집계 거래 플랫폼 Bogged Finance 공식 발표에 따르면, 해커가 BOG 토큰 계약의 스테이킹 기능 취약점을 이용해 플래시 론 공격을 감행했습니다. 해커는 Pancake Pair Swap 코드를 이용해 계약 검증이 완료되기 전에 스테이킹 수익을 인출하여 1500만 개 이상의 BOG 토큰을 발행하게 되었으며, 이들 토큰의 대부분은 원래 BOG의 스테이커에게 배분될 예정이었습니다.

처리 방안：새로운 코인을 발행하고 도난당한 BOG 토큰을 스테이킹 사용자에게 반환합니다.

21、Pancake Bunnny

손실 금액：약 4200만 달러

간단한 설명：5월 20일, BSC 기반의 DeFi 수익 집계기 PancakeBunny가 플래시 론 공격을 받아 114631개의 BNB와 697245개의 BUNNY를 잃었습니다. 후자는 해커에 의해 대량으로 발행되고 매각되어 가격이 240달러에서 급락하여 한때 2달러 이하로 떨어졌습니다. CertiK 보안 팀의 조사에 따르면 PancakeBunny가 PancakeSwap AMM을 사용하여 자산 가격을 계산하기 때문에 해커는 플래시 론을 악용하여 AMM 풀의 가격을 조작하고 Bunny가 토큰을 발행할 때 계산 문제를 이용하여 공격을 성공적으로 수행했습니다.

처리 방안：PancakeBunny는 새로운 토큰 pBUNNY를 발행하고 보상 풀을 생성하여 BUNNY 원래 보유자가 토큰 가격 급락으로 인한 손실을 보상받을 수 있도록 할 것입니다.

20、Venus

손실 금액：초과 1억 달러

간단한 설명：5월 18일 저녁, BSC 기반의 DeFi 대출 플랫폼 Venus의 토큰 XVS가 대규모 투자자에 의해 두 배로 상승한 후, XVS를 담보 자산으로 하여 1억 달러 이상의 BTC와 ETH를 빌려서 이전했습니다. 이후 담보 자산 XVS의 가격이 급락하고 청산에 직면했지만, XVS 시장 유동성이 부족하여 시스템이 제때 청산하지 못해 Venus는 1억 달러의 대규모 손실을 입게 되었습니다.

처리 방안：Venus는 외부 기관에 일부 XVS 토큰을 판매하여 플랫폼 손실을 보전할 것입니다.

19、FinNexus

손실 금액：700만 달러

간단한 설명：5월 17일, 체인 상의 옵션 프로토콜 FinNexus가 해커 공격을 받았으며, 해커는 FNX 토큰 계약 관리자의 개인 키를 복구하는 데 성공했습니다. 공격자는 3억 2300만 개 이상의 FNX를 발행한 후 중앙화 및 탈중앙화 거래소에서 판매하여 가격이 폭락했습니다.

처리 방안：FinNexus 팀은 새로운 코인을 발행하고 해커 침입 이전에 FNX를 보유한 모든 사용자에게 1:1로 보상할 것이라고 밝혔습니다. DEX에서 유동성 제공자는 더 높은 손실을 입었기 때문에 추가 보상을 받을 것입니다.

18、bEarn Fi

손실 금액：약 1086만 달러

간단한 설명：5월 16일, BSC 기반의 크로스 체인 DeFi 프로토콜 bEarn Fi의 bVaults BUSD-Alpaca 전략이 플래시 론 공격을 받아 풀에 있는 약 1086만 BUSD가 소진되었습니다.

처리 방안：bEarn Fi는 보상 기금을 생성할 것이라고 밝혔으며, 이는 남은 저축 자금, 개발 자금, DAO 자금 및 프로토콜에서 발생한 일부 수수료로 구성될 것입니다. 이후 잔액에 대한 스냅샷을 찍어 보상 계약을 배포할 것입니다.

17、EOS Nation

손실 금액：1500만 달러

간단한 설명：5월 14일, EOS Nation의 플래시 론 스마트 계약이 재진입 공격을 받아 약 120만 EOS와 46.2만 USDT가 도난당했습니다.

처리 방안：flash.sx는 손실된 모든 자금이 eosio.prods의 안전한 통제 하에 있으며, 해커의 EOS 계정 권한을 변경하는 제안을 시작했다고 밝혔습니다. 제안이 통과되면 자금을 사용자에게 반환할 것입니다.

16、xToken

손실 금액：약 2500만 달러

간단한 설명：5월 13일, DeFi 스테이킹 및 유동성 전략 플랫폼 xToken이 플래시 론 공격을 받아 xBNTa Bancor 풀과 xSNXa Balancer 풀의 유동성이 즉시 소진되어 약 2500만 달러의 손실이 발생했습니다.

처리 방안：xToken 팀은 XTK 공급 총량의 2%를 도난 손실 보상에 사용할 계획이라고 밝혔습니다.

15、Rari Capital

손실 금액：1400만 달러

간단한 설명：5월 8일, DeFi 스마트 투자 자문 프로토콜 Rari Capital의 ETH 자금 풀이 Alpha Finance Lab 프로토콜 통합으로 인해 발생한 취약점으로 인해 공격자가 보조 계약을 배포하여 ibETH의 ibETH Token 가격을 조작하여 Rari가 1400만 달러의 대규모 손실을 입게 되었습니다.

처리 방안：Rari Capital은 팀 규모 확대에 사용될 200만 개의 예약 RGT를 DAO에 반환하여 공격의 영향을 받은 사용자에게 보상하고 기여자에게 보상을 제공할 것입니다.

14、Value DeFi

손실 금액：두 번에 걸쳐 총 1500만 달러

간단한 설명：이더리움과 BSC 기반의 DeFi 프로토콜 Value DeFi는 5월 5일과 5월 7일 각각 두 번의 공격을 받았습니다. 첫 번째 공격은 Value DeFi의 ProfitSharingRewardPool 계약에서 코드 취약점이 발생하여 vStake 풀이 영향을 받았으며, 총 20만 개 이상의 BUSD와 8790개의 BNB가 손실되었습니다. 두 번째 공격은 Value DeFi의 vSwap 계약에서 코드 취약점이 발생하여 IRON Finance의 일부 풀과 제품이 공격을 받았습니다.

처리 방안：팀은 보험 기금에서 8530 VALUE와 다중 서명에서 122463 VALUE를 사용하여 총 130994 VALUE로 보상할 것이며, 나머지 251702 VALUE는 팀의 VALUE로 보상할 것입니다.

13、Spartan

손실 금액：3000만 달러

간단한 설명：5월 2일, BSC 기반의 합성 자산 프로토콜 Spartan Pools V1이 공격을 받았으며, 유동성 지분 계산 오류로 인해 공격자가 자금 풀에서 약 3000만 달러를 이동시켰습니다.

처리 방안：새로운 SPARTA 토큰을 발행하고 원래 발행되지 않은 2000만 개의 토큰을 공격으로 인해 손실을 입은 자금 풀 LP에게 보상할 것입니다.

12、Uranium

손실 금액：5000만 달러

간단한 설명：4월 28일, BSC 기반의 AMM 프로토콜 Uranium이 해커 공격을 받았으며, 계약이 이전 과정에서 해커 공격을 받았습니다. 이 사건에서 금액은 5000만 달러에 달했습니다. SlowMist 분석에 따르면, 이번 문제는 Uranium 프로젝트의 pair 계약에서 발생했으며, 계약의 swap 함수 일부가 일정한 곱 공식을 기반으로 계약 잔액을 검사할 때 정밀도 처리 오류가 발생하여 최종적으로 계약에서 계산된 잔액이 계약 실제 잔액보다 100배 더 크게 계산되었습니다. 이 경우 공격자가 플래시 론을 사용하여 대출을 받으면 대출 금액의 1%만 반환하면 검사를 통과하여 나머지 99%의 잔액을 훔칠 수 있어 프로젝트 손실이 발생했습니다.

처리 방안：Uranium 프로젝트는 운영을 중단합니다.

11、EasyFi

손실 금액：약 4090만 달러

간단한 설명：4월 19일, Layer 2 대출 프로토콜 EasyFi 팀원들은 많은 EASY 토큰이 EasyFi 공식 지갑에서 이더리움 네트워크와 Polygon 네트워크의 여러 미지의 지갑으로 대량 전송되었다고 밝혔습니다. 관리 키 또는 니모닉이 공격당했을 가능성이 있습니다. 해커는 관리자 키를 성공적으로 획득하고 프로토콜 풀에서 USD/DAI/USDT 형태로 600만 달러의 기존 유동성 자금을 전송했으며, 298만 개의 EASY 토큰(현재 가치 약 4090만 달러, 전체 공급량의 약 30%)을 의심되는 해커의 지갑으로 전송했습니다.

처리 방안：EasyFi는 Polygon의 사용자에게 보상 계획을 발표하며, 블록 높이 13464478에서 스냅샷을 진행하여 자격이 있는 각 주소가 두 부분으로 보상을 받을 것입니다. 이 중 25%의 자금은 직접 보상으로 지급되며, 나머지 75%는 EZ (IOU) 형태로 지급됩니다. EZ (IOU)는 EASY V2 토큰 EZ와 1:1로 대응하는 토큰입니다.

10、Force DAO

손실 금액：약 36.7만 달러

간단한 설명：4월 4일, DeFi 양적 헤지 펀드 Force DAO 프로젝트의 FORCE 토큰이 대량으로 발행되었으며, 해커는 발행된 토큰을 판매하여 약 36.7만 달러를 획득했습니다. 이 취약점의 주요 원인은 FORCE 토큰의 transferFrom 함수가 "가짜 충전" 방식으로 작성되었으나 외부 계약이 이를 호출할 때 반환 값을 엄격하게 판단하지 않아 사고가 발생한 것입니다.

처리 방안：Force 팀은 해커 주소에서 회수한 45개의 ETH와 나머지 약 75%의 손실을 새로운 FORCE 토큰을 에어드랍하는 형태로 보상할 것이라고 밝혔습니다. 해커 사건을 이용해 차익 거래를 시도하다 손실을 입은 사용자(공황 판매 또는 계속 보유)의 에어드랍 비율은 1.5:1입니다.

9、Iron Finance

손실 금액：17만 달러

간단한 설명：3월 17일, 스테이블 코인 담보 플랫폼 Iron Finance가 해커 공격을 받아 두 개의 vFarm 유동성 풀에서 총 17만 달러의 손실이 발생했습니다. 공식 발표에 따르면, 공격 사건은 클라우드 서비스(FaaS) 업그레이드로 인해 보상 비율 정수가 변경되었으나 공식 팀이 이 문제를 인식하지 못한 데서 발생했습니다.

8、TSD

손실 금액：1.6만 달러

간단한 설명：3월 15일, 크로스 체인 스테이블 코인 True Seigniorage Dollar(TSD)는 악의적인 공격자가 TSD DAO에서 자신의 계정에 118억 개의 TSD 토큰을 발행하고 이를 Pancakeswap에서 모두 판매하여 1.6만 달러를 획득했다고 밝혔습니다.

7、Meerkat Finance

손실 금액：3100만 달러

간단한 설명：3월 4일, BSC 생태계 바이낸스 스마트 체인 DeFi 프로토콜 Meerkat Finance가 도망친 것으로 보이며, 금고 계약이 해커 공격을 받았다고 주장했습니다. 이후 Meerkat Finance 개발자라고 주장하는 Jamboo는 이것이 단지 실험이며 Meerkat이 데이터 업데이트 및 스마트 계약을 실행하여 사용자에게 보상할 것이라고 발표했습니다. 처리 방안：금고 잔액의 95%를 직접 반환하고 나머지 5%는 새로운 제품 XFarm을 통해 공정하게 분배할 것입니다(이는 MKAT 보유자와 유동성 제공자 MKAT-BNB의 손실을 상쇄할 것입니다). Meerkat은 UTC 시간 3월 6일 18시에 스테이킹 및 금고 계약을 재개하고 24시간 후에 스왑 계약을 배포하여 사용자에게 지침을 발표할 것입니다.

6、DODO

손실 금액：약 380만 달러

간단한 설명：3월 9일, 탈중앙화 거래소 DODO는 DODO v2 버전의 WSZO, WCRES, ETHA, Fusible 크라우드 펀딩 풀이 해커 공격을 받았다고 발표했으며, 팀은 관련 자금 풀의 생성 입구를 종료했습니다. 청두 체인 안전 팀의 분석에 따르면, 공격의 원인은 계약의 init 함수에 제한이 없었기 때문에 공격자가 이를 호출할 권한을 가지게 된 것입니다.

처리 방안：해커는 약 310만 달러 가치의 토큰을 자발적으로 반환했으며, 약 20만 달러의 자금이 중앙화 거래소에 동결되었고, 나머지 약 50만 달러의 손실은 DODO 팀이 부담합니다.

5、Paid Network

손실 금액：약 300만 달러

간단한 설명：3월 6일, DeFi 프로토콜 Paid Network가 계약 취약점으로 공격을 받아 공격자는 약 1.6억 달러 가치의 PAID 토큰을 발행하고 2000 ETH(약 300만 달러)를 판매하여 얻었습니다.

처리 방안：토큰 계약의 배포를 재시작하고 해커 공격 후 4시간 이내에 거래한 사용자에게 PAID V2 토큰을 에어드랍합니다.

4、Furucombo

손실 금액：1500만 달러

간단한 설명：2월 28일, DeFi 수익 집계 프로토콜 Furucombo의 스마트 계약에서 심각한 취약점이 발생하여 공격자가 가짜 계약을 사용하여 Furuсombo Proxy를 혼란시켜 1500만 달러 이상의 ETH 및 기타 ERC-20 토큰을 도난당하고 자신의 지갑 주소로 전송했습니다.

처리 방안：Furucombo는 보상 풀을 생성하고 500만 COMBO 토큰을 분배하며, 영향을 받은 사용자에게 500만 iouCOMBO 토큰을 발행할 것입니다. 이 토큰은 360일 내에 선형으로 잠금 해제되며, 토큰 보유자는 상환 풀에서 COMBO를 청구할 수 있습니다.

3、Alpha Finance

손실 금액：3750만 달러

간단한 설명：2월 13일, 크로스 체인 DeFi 플랫폼 Alpha Finance가 공격을 받았으며, 해당 프로젝트가 Cream Finance의 무담보 대출 기능을 통합하여 해커가 이 기능의 취약점을 이용해 플래시 론을 사용하여 Cream Finance에서 약 3750만 달러를 도난당했습니다.

처리 방안：Alpha Finance는 공격자가 Alpha Homora V2와 Cream V2 배포자 계약에 입금한 2000 ETH를 지급하고, Alpha Homora V1 및 V2의 준비금의 20%를 사용하여 나머지 자금을 상환하며, 매달 Cream V2 Iron Bank에 지급하여 신규 부채를 모두 상환할 것입니다.

2、BT.Finance

손실 금액：150만 달러

간단한 설명：2월 9일, 스마트 수익 집계기 BT.Finance가 플래시 론 공격을 받아 영향을 받은 전략에는 ETH, USDC 및 USDT가 포함되었습니다.

처리 방안：Cover Protocol은 해당 프로젝트에서 해커 공격으로 손실된 140906 DAI의 60%를 보상했습니다.

1、Yearn Finance

손실 금액：1100만 달러

간단한 설명：2월 5일, Yearn Finance v1 버전의 yDAI 기관 총알 풀이 해커에 의해 악용되어 1100만 달러의 손실이 발생했습니다. 이 공격자는 총 51.3만 DAI, 170만 USDT 및 50.6만 3CRV를 획득했습니다. Certik 보안 기술 팀의 분석에 따르면, 이번 공격 사건은 해커가 플래시 론을 통해 공격 자금을 확보하고 Yearn 프로젝트 코드의 취약점을 이용하여 완료되었습니다.

처리 방안：Yearn 공식은 YFI를 사용하여 Maker CDP(담보 채무 창고)를 생성하고 적자를 보전하며, 프로토콜 수수료를 통해 보전할 것입니다. 또한, Cover Protocol, Nexus Mutual 등 DeFi 보험 프로토콜이 Yearn에 대해 일부 손실을 보상할 것입니다.