Polkadot 익스플로잇 사건 개요
이번 주 초, 10억 개의 래핑된 Polkadot (DOT) 토큰이 민팅되는 사건을 초래한 익스플로잇이 원래 보고된 것보다 더 심각하다고 Hyperbridge 팀이 밝혔습니다. Polkadot-Ethereum 브리지와 관련된 손실이 원래 $237,000으로 추정되었으나, 실제로는 약 $2.5 million에 가까운 것으로 확인되었습니다. 이는 초기 보고서에서의 10배 이상의 증가입니다.
공격 방식과 손실 내역
“공격자는 Merkle Mountain Range (MMR) 증명 검증 로직의 취약점을 악용하여 자산을 민팅하고 Token Gateway에서 에스크로 자산을 빼내는 데 성공했습니다,”라고 팀은 목요일 포스트모템에서 밝혔습니다.
“우리가 처음에 공개한 손실 추정치는 Ethereum에서 브리지된 DOT의 즉각적인 매도 관찰을 기반으로 약 $237,000이었습니다,”라고 덧붙였습니다. “그 수치는 전체 상황을 반영하지 못했음을 나중에 알게 되었습니다.”
$237,000의 관찰 가능한 손실 외에도, 스마트 계약이 악용되어 245 ETH, 즉 약 $561,000이 공격 발생 몇 시간 전에 유출되었습니다. 또한, Base, Arbitrum, BNB Chain의 세 개의 연결된 블록체인도 영향을 받았으며, 이는 오직 Ethereum에서 래핑된 DOT만 영향을 받았다는 팀의 초기 보고와 모순됩니다.
“각 네 개의 체인에서 공격자의 활동을 조정한 결과, 공격의 두 단계 성격과 관련된 인센티브 풀에서의 손실을 고려할 때, 수정된 총 실현 손실은 약 $2.5 million으로, 익스플로잇 당시 ETH와 DOT로 표시됩니다,”라고 팀은 작성했습니다.
도난 자산 회수 노력
도난당한 자금은 Binance의 입금 주소로 추적되었으며, 해당 회사는 중앙 집중식 거래소의 준수 팀 및 관련 법 집행 기관과 협력하여 도난 자산을 동결하고 회수하려고 시도하고 있지만, 빠른 해결을 기대하지는 않고 있습니다. “우리는 가능한 모든 경로를 추구하고 있지만, 이러한 유형의 사건에서 의미 있는 회복의 현실적인 시간표는 몇 개월로 측정되며, 최대 1년까지 연장될 수 있습니다,”라고 덧붙였습니다.
사용자 보상 및 프로토콜의 향후 계획
영향을 받은 모든 사용자에게 손실을 보상하는 것이 목표이지만, 프로토콜은 이를 수행할 수 없을 경우 “잔여 손실을 보전하기 위한 구조화된 BRIDGE 토큰 할당에 전념하고 있다”고 밝혔습니다. 그러나 BRIDGE, 즉 자사의 네이티브 프로토콜 토큰은 매우 낮은 거래량을 유지하고 있으며, CoinGecko의 데이터에 따르면 3월 29일에 약 $0.006에 거래되었을 때 24시간 동안 $1,800에 거래되었습니다. 이 가격에서 토큰의 시가총액은 약 $858,000으로, 익스플로잇으로 인한 총 손실의 약 3분의 1에 해당합니다.
영향을 받은 네 개의 블록체인에서의 브리징 기능은 일시 중지된 상태이며, 패치가 배포되고 감사가 완료된 후에만 재개될 것입니다. “이것은 우리가 크로스 체인 상호 운용성이 암호학적 증명을 통해서만 안전하다는 확신을 바꾸지 않습니다,”라고 프로토콜 팀은 작성했습니다. “이번 익스플로잇이 명확하게 드러낸 것은 검증 로직이 스택의 모든 계층에서 더 빈번한 감사와 적대적 테스트가 필요하다는 것입니다,”라고 덧붙였습니다. “이것이 앞으로 Token Gateway가 운영될 기준입니다.”
