디파이(DeFi) 대출 프로토콜 컴파운드 파이낸스(Compound Finance)의 포크인 오닉스(Onyx)가 목요일 320만 달러 규모의 해킹을 당했다. 이는 지난 1년간 이 프로토콜의 스마트 컨트랙트가 두 번째로 공격당한 사례다.
27일(현지시간) 보안 업체 퍼즐랜드(Fuzzland)에 따르면, 오전 11시 57분경 오닉스에 악성 계약이 배포됐으며, 이는 공격이 발생하기 약 5분 전이었다. 경쟁 보안 업체인 펙실드(PeckShield)와 사이버스(Cyvers)도 해킹 전 오닉스다오(OnyxDAO)에서 의심스러운 거래를 발견했다.
사이버스는 손실의 대부분이 미국 달러 기반 스테이블코인인 VUSD라고 밝혔다. 의심되는 공격자는 또한 약 136만 달러 상당의 521 ETH를 보유하고 있으며, 사이버스에 따르면 도난당한 자산을 스왑하는 것을 주저하고 있다.
손실을 약 380만 달러로 추정하는 펙실드에 따르면, 공격자는 포크된 컴파운드 V2 코드베이스의 알려진 버그를 공격해 VUSD, DAI, 테더(Tether) 스테이블코인 등 다른 암호화폐를 빼냈다.
펙실드는 X에 "이번 해킹을 용이하게 한 또 다른 문제는 NFTLiquidation 계약과 관련이 있다. 이 계약은 (신뢰할 수 없는) 사용자 입력을 제대로 검증하지 않았고, 자체 청산 보상 금액을 부풀리는 데 악용됐다"고 설명했다.
지난해 10월, 오닉스는 정수 반올림 취약점과 플래시론 공격을 악용한 210만 달러 규모의 공격을 당한 바 있다.
퍼즐랜드의 창립자 차오판 슈(Chaofan Shou)는 더 블록과의 메시지에서 "작년 공격은 손상된 컴파운드 코드를 포크할 때 도입된 취약점 때문이었다. 이번에는 그들의 로직 오류로 인해 스스로 취약점을 도입했다"고 말했다.
뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기