트윗이 작성자에 의해 삭제되었습니다.
하지만 우리는 모든 것을 저장했습니다 🙂.
반복되는 216만 달러 규모의 Aztec 익스플로잇으로 레거시 DeFi 컨트랙트에 대한 우려 확산
Aztec Labs가 일주일 만에 두 번째 익스플로잇 피해를 입었습니다. 공격자는 수년 전 운영이 중단된 구형 Private Rollup Bridge에서 약 216만 달러를 탈취했습니다. 이번 사건은 현재의 Aztec 네트워크나 AZTEC 토큰에는 영향을 미치지 않았으나, 제품 은퇴 후에도 온체인에 남아 있는 오래된 스마트 컨트랙트에 대한 정밀 조사의 필요성을 다시 한번 일깨워주었습니다.
하이라이트
- Aztec의 중단된 Private Rollup Bridge에서 약 216만 달러의 손실이 발생했습니다.
- 공격자는 불변의 구형 컨트랙트에서 ETH, DAI 및 renBTC를 인출했습니다.
- Aztec은 현재 네트워크와 AZTEC 토큰은 영향을 받지 않았다고 밝혔습니다.
이 기사는 원문을 번역한 것입니다. 당사 특파원이 작성한 원문은 여기에서 확인하실 수 있습니다.
방치된 인프라에 대한 또 다른 공격
Coinpedia의 보도에 따르면, 공격자는 2021년 출시되어 2022년 폐쇄된 Aztec의 구형 Private Rollup Bridge를 노렸습니다. 해당 브릿지는 중단되었음에도 불구하고 스마트 컨트랙트가 '불변(immutable)' 상태였기 때문에 활성 상태로 남아 있었으며, 이는 Aztec 측이 배포 후 이를 일시 중지하거나 업그레이드할 수 없었음을 의미합니다.
SlowMist 데이터에 따르면 공격자는 1,158 ETH, 150,000 DAI 및 0.47 renBTC를 인출했습니다. 공격에 사용된 지갑은 공격 직전 HitBTC로부터 단 0.134 ETH를 송금받은 것으로 알려졌습니다.
이번 공격은 6월 14일에 발견된 또 다른 익스플로잇의 뒤를 잇는 것으로, 당시에도 중단된 Aztec Connect 제품에서 215만 달러 이상의 손실이 발생했습니다. 이전 사건 역시 현재의 Aztec 네트워크가 아닌 레거시 인프라를 겨냥한 것이었습니다.
이스케이프 해치(Escape hatch)의 취약점
SlowMist 연구원들은 이번 익스플로잇이 브릿지의 '이스케이프 해치' 기능의 취약점과 관련이 있다고 분석했습니다. 이 기능은 특정 조건에서 사용자가 자금을 회수할 수 있도록 설계된 비상 인출 메커니즘입니다. 보고서에 따르면 문제는 컨트랙트가 인출 요청을 제대로 검증하지 않았으며, 자금 소유권을 독립적으로 확인하지 않은 채 제출된 일부 트랜잭션 데이터를 신뢰했다는 점입니다.
이로 인해 공격자는 조작된 인출 정보를 사용하면서도 유효해 보이는 증명을 제출할 수 있었습니다. 그 결과 컨트랙트는 승인해서는 안 될 자금을 방출했습니다. 이번 사례는 검증 로직이 불완전할 경우 비상용 도구조차 공격 표면이 될 수 있음을 보여줍니다.
Aztec Labs는 해당 제품이 현재 네트워크, 현재 스마트 컨트랙트 또는 AZTEC ERC-20 토큰과 아무런 관련이 없다고 밝혔습니다. 또한 회사는 구형 브릿지에 대한 관리 권한이 더 이상 없어 익스플로잇 발생 후 개입할 수 있는 능력이 제한적이라고 덧붙였습니다.
레거시 코드는 DeFi의 잠재적 부채
이번 Aztec 사건은 탈중앙화 금융(DeFi)에서 반복되는 리스크를 부각시킵니다. 즉, 개발팀이 유지보수를 중단한 지 오래된 스마트 컨트랙트도 경제적 가치를 계속 지닐 수 있다는 점입니다. 자금이 해당 컨트랙트 안에 남아 있다면, 불변성은 임의적인 변경으로부터 사용자를 보호할 수도 있지만 비상 수정을 막는 장애물이 되기도 합니다.
사용자 입장에서 주요 쟁점은 현재 프로토콜의 보안 여부뿐만 아니라, 오래된 제품이 여전히 자산을 보유하고 있는지와 종료 프로세스가 완벽했는지 여부입니다. 개발자들에게 주는 교훈은 더 명확합니다. 제품 중단이 리스크의 종료를 의미하지는 않는다는 것입니다. 컨트랙트 업그레이드가 불가능하다면, 레거시 시스템이 표적이 되기 전에 더욱 강력한 자금 인출 캠페인, 모니터링 및 공개 경고가 필요합니다.
저희는 또한 Verus-Ethereum 브릿지가 검증 익스플로잇으로 1,100만 달러 이상의 손실을 입었다는 소식을 전해드린 바 있습니다.
이 글이 마음에 드셨나요?
인기 뉴스
상위 5 브로커
미국
-
가나
-
그리스
-
나미비아
-
나이지리아
-
남아프리카 공화국
-
네덜란드
-
네팔
-
노르웨이
-
뉴질랜드
-
대만, 중화민국
-
대한민국
-
덴마크
-
도미니카 공화국
-
독일
-
라오스
-
라트비아
-
레바논
-
레소토
-
루마니아
-
룩셈부르크
-
르완다
-
리비아
-
리투아니아
-
마다가스카르
-
말레이시아
-
멕시코
-
모로코
-
모리셔스
-
모잠비크
-
몬테네그로
-
몰도바
-
몰타
-
몽골
-
미국
-
미얀마
-
바레인
-
바하마
-
방글라데시
-
베네수엘라
-
베트남
-
벨기에
-
벨라루스
-
보츠와나
-
볼리비아
-
북마케도니아
-
불가리아
-
브라질
-
브루나이 다루살람
-
사우디아라비아
-
세르비아
-
소말리아
-
스리랑카
-
스웨덴
-
스위스
-
스페인
-
슬로바키아
-
슬로베니아
-
시리아
-
싱가포르
-
아랍에미리트
-
아르메니아
-
아르헨티나
-
아이티
-
아일랜드
-
아제르바이잔
-
아프가니스탄
-
알바니아
-
알제리
-
앙골라
-
에스와티니
-
에스토니아
-
에콰도르
-
에티오피아
-
엘살바도르
-
영국
-
예멘
-
오만
-
오스트리아
-
요르단
-
우간다
-
우루과이
-
우즈베키스탄
-
우크라이나
-
이라크
-
이란, 이슬람 공화국
-
이스라엘
-
이집트
-
이탈리아
-
인도
-
인도네시아
-
일본
-
자메이카
-
잠비아
-
재결합(국가 이름)
-
조지아
-
중국
-
짐바브웨
-
체코
-
칠레
-
카메룬
-
카자흐스탄
-
카타르
-
캄보디아
-
캐나다
-
케냐
-
코스타리카
-
코트디부아르
-
콜롬비아
-
콩고
-
콩고 민주공화국
-
쿠바
-
쿠웨이트
-
크로아티아
-
키르기스스탄
-
키프로스(국가 이름)
-
타지키스탄
-
탄자니아
-
태국
-
터키
-
튀니지
-
트리니다드 토바고
-
파나마
-
파라과이
-
파키스탄
-
파푸아뉴기니
-
팔레스타인
-
페루
-
포르투갈
-
폴란드
-
푸에르토리코
-
프랑스
-
핀란드
-
필리핀
-
헝가리
-
호주
-
홍콩
- Forex
- Crypto
