맨위로 가기
  • 공유 공유
  • 댓글 댓글
  • 추천 추천
  • 스크랩 스크랩
  • 인쇄 인쇄
  • 글자크기 글자크기
링크가 복사되었습니다.

ERC-4626 금고 취약점 악용한 오라클 조작 공격, 디파이 프로토콜 타격

작성자 이미지
김미래 기자

2025.03.31 (월) 22:27

1
2

이더리움 레이어2인 지크싱크(ZKsync)에서 오라클 조작 공격으로 디파이 대출 프로토콜 비너스(Venus)가 71만6000달러 손실을 입었다.공격자는 ERC-4626 기반 토큰화 금고의 구조적 취약점을 악용해 수익형 스테이블코인 wUSDM의 내부 환율을 조작하고 이중 계정으로 이익을 챙겼다.

ERC-4626 금고 취약점 악용한 오라클 조작 공격, 디파이 프로토콜 타격 / 셔터스톡

2월 이더리움 기반 디파이 생태계에서 발생한 오라클 조작 공격으로 비너스 프로토콜이 71만6000달러 손실을 입으며 ERC-4626 기반 토큰화 금고의 구조적 결함이 드러났다.

30일(현지시간) 더블록에 따르면 이번 공격은 지난 2월 27일 이더리움 레이어2 네트워크 지크싱크에서 발생했으며, 공격자는 디파이 대출 프로토콜 비너스에서 약 4만달러의 자금을 플래시 론 방식으로 차입한 후 wUSDM 금고에 기부하는 방식으로 내부 환율을 조작했다. wUSDM은 미국 국채 기반 스테이블코인 USDM을 담보로 발행되는 수익형 토큰이다.

공격자는 환율을 기존 1.06에서 1.7까지 인위적으로 상승시킨 후, 두 개의 계정을 이용해 비너스 프로토콜에서 대출을 실행하고 자가청산 방식으로 대출을 상환하는 과정을 반복해 약 20만달러를 탈취했다. 반면 비너스는 순손실 71만6000달러를 입었다. 혼란을 막기 위해 비너스 측은 해당 마켓을 즉각 동결하고 환율 재설정을 포함한 비상 조치를 취했다.

이번 공격은 ERC-4626 표준 기반 토큰화 금고가 외부 오라클을 활용할 때 환율 조작에 취약하다는 점을 부각했다. 해당 표준은 2022년 5월 도입됐으며 디파이 생태계 내에서 널리 사용되고 있지만, 가격 왜곡에 대한 자체 보호장치는 마련돼 있지 않다. 위험관리 기업 카오스랩스(Chaos Labs)는 공격 이후 발표한 분석 보고서를 통해 "크로스체인 오라클 사용이나 환율 상승 제한 메커니즘 도입 등으로 충분히 예방할 수 있었다"고 밝혔다.

커브파이낸스(Curve Finance)는 해당 공격이 특정 금고뿐 아니라 표준 여부와 무관하게 모든 디파이 금고에 적용될 수 있는 취약점이라고 지적했다. 라이트블록스랩스(Lightblocks Labs) 소속 오라클 인프라 전문가 요니 케셀브레너(Yoni Keselbrener)는 "복합 오라클 시스템인 CAPO가 효과적인 대응책이 될 수 있다"며 "합법적 수익 상승까지 제한하지 않도록 코드의 복잡성과 지속적인 관리가 필요하다"고 설명했다.

디파이 대출 프로토콜 율러(Euler)는 2024년 1월 ERC-4626 관련 보고서를 통해 대부분의 금고가 환율 조작을 방지하기 위한 안전장치를 제대로 구현하지 않고 있다고 경고한 바 있다. 케셀브레너는 "이제는 단순한 가격 피드만으로는 자산의 위험 프로파일을 평가할 수 없다"며 "크로스체인 오라클 인프라는 추가적인 보안 레이어로 봐야 한다"고 덧붙였다.

<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>

광고문의 기사제보 보도자료

많이 본 기사

댓글

1

추천

2

스크랩

Scrap

데일리 스탬프

0

매일 스탬프를 찍을 수 있어요!

데일리 스탬프를 찍은 회원이 없습니다.
첫 스탬프를 찍어 보세요!

댓글 1

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

0/1000

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

릴라당

2025.04.01 00:08:44

좋은기사 감사해요

답글달기

0

0
0

이전 답글 더보기

1