어베의 수익 농장 프로토콜, 리엔트리 공격의 대상 – PeckShield

PeckShield identifies Abey's revenue farming protocol as a target of Reentrancy attack.

블록체인 보안 기업 PeckShield는 8월 9일에 탈중앙화 금융(DeFi) 프로젝트를 대상으로 새로운 취약점을 발견했습니다. 해당 기업에 따르면, Aave 프로토콜의 Earning Farm이 재진입 공격(reentrancy attack)에 의해 침해되어 최소 28만 7,000 달러에 해당하는 이더(ETH)가 도난당했습니다.

#PeckShieldAlert ~$287K #Ethereum pic.twitter.com/TOQ9oSzcGN

— PeckShield Inc. (@peckshield) August 9, 2023

재진입 공격은 ATM을 속여 남은 돈이 없다는 사실을 인지하기 전에 여러 번 돈을 얻는 것과 같습니다. 이는 돈 요청 사이로 몰래 들어가서 시스템을 속여 시스템이 사용 가능한 금액보다 많은 자금을 공격자에게 부여하도록 하는 것으로 이루어집니다. 마찬가지로 컴퓨터에서도 공격자는 첫 번째 함수 호출이 완료되기 전에 반복적으로 계약과 상호작용하는 함수를 호출하여 공격자가 가져야 할 이상의 액세스 또는 리소스를 얻습니다.

• Bitstamp 거래소, 미국 규제 우려로 인해 인기 있는 알트코인의 거래 일시 중단 – 어떤 코인이 포함되었나요?
• 다중 블록체인에 지원되는 토큰화된 실물자산을 통합합니다
• 레오나르도 다 빈치의 상징적인 걸작 ‘Salvator Mundi’가 NFT로 데뷔한다

이 공격이 Curve Finance의 풀들에 대한 악용과 관련이 있는지 여부는 명확하지 않습니다. 해당 DeFi 프로토콜의 스테이블 풀은 7월 30일에도 재진입 공격을 받아 6,100만 달러가 훔쳐졌습니다. Curve 해킹은 Vyper 프로그래밍 언어의 세 가지 버전에 영향을 주는 취약점으로 가능해졌으며, Vyper는 DeFi 프로토콜의 개발자들이 널리 사용하는 일반적인 계약 언어입니다.

관련 기사: Curve-Vyper 공략: 지금까지의 전체 이야기

Earning Farm은 이더, 래핑된 비트코인(wBTC) 및 USD Coin(USDC) 홀더들을 위한 사용자 친화적인 프로토콜로 설계되었습니다. 해당 웹사이트에 명시된 대로 보안 기업인 Slowmist가 블록체인 계약을 감사했습니다.

이 프로토콜이 공격을 받은 것은 처음이 아닙니다. 2022년 10월에는 Earning Farm이 EFLeverVault를 통한 플래시 대출 공격으로 인해 750 이더가 프로토콜에서 훔쳐졌습니다. 플래시 대출 공격에서 해커는 한 번의 거래로 대량의 암호화폐를 빌리고 여러 거래를 통해 가치를 악용한 후 동일한 거래 내에서 대출금을 상환합니다. 이러한 공격은 시스템의 가격 불일치와 일시적인 불균형을 악용하여 이익을 얻습니다.

매거진: 예금 위험: 암호화폐 거래소는 실제로 어떻게 자금을 처리하는가?