수요일 이른 아침, 블록체인 보안 회사 사이버스는 파이크 파이낸스의 크로스체인 대출 프로토콜에서 몇 가지 비정상적인 거래를 발견했습니다. 사이버스는 이 의심스러운 거래로 인해 약 160만 달러의 상당한 금전적 손실이 발생했다고 밝혔습니다.
불법 활동은 주로 이더리움(ETH), 아비트럼(ARB), 옵티미즘(OP) 블록체인을 통해 이루어졌습니다. 침입자는 아비트럼에서 익명화 도구 레일건(Railgun)을 활용한 것으로 나타났습니다.
파이크 파이낸스를 향한 두 차례 공격
온체인 감시 플랫폼 CertiK은 공격의 발원지를 4월 30일로 신속하게 추적했습니다. 공격자는 초기화 기능을 호출해 악성 코드를 삽입하는 방법을 사용해 파이크 파이낸스의 스마트 컨트랙트 시스템을 조작한 것으로 밝혀졌습니다.
“[공격자는] 파이크 파이낸스의 컨트랙트를 초기화할 수 있었고, 이 과정에서 _isActive 변수가 공격자의 주소로 설정되었습니다. 그런 다음 공격자는 이 권한을 사용하여 컨트랙트 업그레이드ToAndCall 함수를 호출하고 구현을 자신들이 만든 것으로 변경할 수 있었습니다. 그런 다음 컨트랙트의 자산을 빼낼 수 있었습니다.”
더 읽어보기: 암호화폐 보안의 5대 결함 및 이를 피하는 방법
경고 이후, 파이크 파이낸스는 공식 X 계정에 대한 익스플로잇과 그 영향에 대해 자세히 설명하는 성명을 발표했습니다. 이 프로토콜은 이 사건으로 인해 99,970.48 ARB, 64,126 OP, 479.39 ETH의 손실이 발생했다고 주장했습니다.
파이크 파이낸스가 제공한 자세한 분석에 따르면, 공격자는 이전에 손상된 프레임워크에서 스포크 컨트랙트를 업그레이드했습니다. 그런 다음 스마트 컨트랙트의 잘못 정렬된 스토리지 매핑을 악용했습니다.
“그 결과 공격자는 관리자 액세스를 우회하여 스포크 컨트랙트를 업그레이드하고 자금을 인출할 수 있었습니다.”라고 파이크 파이낸스 팀은 설명했습니다.
파이크 파이낸스는 또한 추가 조사에 대한 의지를 보여주었습니다. 또한 도난당한 자산을 회수하는 데 도움이 되는 정보를 제공하면 20%의 포상금을 지급한다고 밝혔습니다. 또한 피해 사용자에 대한 보상 계획도 논의하여 발표할 예정입니다.
이번 익스플로잇은 지난 4월 26일에 발생한 USD 코인(USDC) 인출 취약점과 관련이 있습니다. 파이크 파이낸스는 이 취약점이 “CCTP 프로토콜을 통해 USDC 이체를 관리하는 기능의 보안 조치가 취약하기 때문”이라고 인정했습니다. 소스 체인에서 USDC를 소각하고 대상 체인에서 채굴하는 기능에서 심각한 결함이 발견되었으며, 이는 젤라토의 서비스에 의해 자동화되었습니다.
더 읽어보기: 암호화폐 보안에 꼭 필요한 10가지 팁
파이크 파이낸스는 사후 게시물에서 “이 기능의 보호가 불충분하여 공격자가 수신자의 주소와 금액을 조작할 수 있었으며, 이는 파이크 프로토콜에서 유효한 것으로 처리되었습니다.”라고 밝혔습니다.
이 익스플로잇으로 인해 299,127 USDC가 손실되었으며, 이더리움, 아리트럼, 옵티미즘 등 3개 네트워크에 영향을 미쳤습니다. 그러나 파이크 파이낸스는 이 사건이 USDC 자산에만 영향을 미쳤으며 다른 모든 자산은 안전하다고 주장했습니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
