DxSale 익스플로잇 사건 개요
DxSale에서 발생한 익스플로잇으로 인해 BNB 체인에서 1,400명 이상의 유동성 제공자가 잠금 해제한 BNB를 인출하면서 총 730만 달러의 피해가 발생했습니다. 블록체인 보안 회사인 PeckShield에 따르면, 공격자가 제어하는 주소 “0xC457“는 약 187만 달러 상당의 BNB를 두 개의 주요 지갑으로 이동시킨 후, 이 자금을 Binance와 관련된 여러 입금 주소로 송금했습니다.
익스플로잇의 배경
이번 사건은 2021년 BNB 체인에서 토큰 출시를 위해 플랫폼이 널리 사용되던 시점부터 DxSale 계약에 잠금 상태로 남아있던 유동성에 영향을 미쳤습니다. 블록체인 분석가 Tahax의 초기 조사 결과에 따르면, 익스플로잇은 공격 몇 달 전 계약 소유권 변경에서 시작된 것으로 보입니다.
“익스플로잇이 어떻게 발생했는지 살펴보면, 269일 전 DxSale 배포자가 잠금 장치의 소유권을 새로운 지갑으로 조용히 이전했습니다. 발표도 없고, 마이그레이션 공지도 없었으며, 단지 조용한 인수였습니다.”
자금의 이동 및 분석
긴급 상황으로, OG LP들로부터 약 730만 달러가 유출되었습니다. DxSale은 2021년 가장 큰 유동성 잠금 장치를 운영했으며, 수억 달러가 그 안에 잠겨 있었습니다. 심지어 $SAFEMOON도 여기 잠금 상태였습니다. 팀은 이제 자금을 혼합하고 있으며, 이는 추적할 수 없는 상태가 되었습니다.
소유권 이력을 더 추적한 Tahax는 80건 이상의 추가 거래가 지갑 간의 제어를 전달하는 데 사용되었으며, 결국 “0xC45“로 식별된 주소에 도달했다고 밝혔습니다. 이 주소는 나중에 대규모 BNB 인출을 실행했습니다.
보안 분석 및 결론
분석가는 또한 익스플로잇 지갑이 새로 생성되었으며, 처음에는 암호화폐 거래소 Bybit를 통해 자금이 조달되었다고 언급했습니다. Web3 보안 회사 Coinsult의 추가 분석은 익스플로잇이 특권 계약 기능과 조작된 잠금 기간과 관련이 있다고 연결지었습니다. Coinsult에 따르면, 이 조합은 잠금 상태로 남아 있어야 할 자금이 인출 가능한 잔액으로 처리되도록 했습니다.
“보안 회사는 특권 ‘setFee’ 메커니즘과 백데이트된 잠금 구성의 조합이 반복적인 인출 작업을 가능하게 하여 궁극적으로 BNB 준비금을 고갈시켰다고 밝혔습니다.”
Tahax는 별도로 배포자 계약에 백도어가 남겨져 익스플로잇의 조건을 만들었다고 주장했습니다. 조사자들이 공격 경로를 식별했을 때, 일부 도난 자금은 이미 추적 노력을 복잡하게 만들 수 있는 인프라를 통해 이동했다고 Tahax는 전했습니다.
탈중앙화 금융 플랫폼의 보안 문제
이번 침해 사건은 탈중앙화 금융 플랫폼이 여러 네트워크에서 보안 사건에 계속 직면하고 있는 가운데 발생했습니다. DefiLlama의 데이터에 따르면, DeFi 프로토콜은 5월에만 약 5200만 달러를 익스플로잇으로 잃었으며, 4월에는 약 6억 3400만 달러의 손실이 기록되어 2025년 2월 이후 가장 높은 월간 총액이었습니다.
이번 주에는 Stake DAO가 Arbitrum에서 투표 강화 sdCRV 토큰과 관련된 익스플로잇을 공개한 후 보안 우려가 심화되었습니다. 블록체인 보안 회사 Blockaid는 공격자가 5.4조 개 이상의 vsdCRV 토큰을 발행하고 이를 ETH로 교환하기 시작했다고 보고했으며, Stake DAO는 사용자가 자산과 상호작용하지 말 것을 권고하며 조사자들이 Arbitrum과 Ethereum 전역에서 거래를 추적하고 있다고 밝혔습니다.
한편, Wasabi Protocol은 손상된 관리 키로 인해 공격자들이 계약을 업그레이드하고 Ethereum, Base, Berachain 및 Blast 전역에서 자금을 고갈시켜 500만 달러 이상의 손실을 보고했습니다.
AI와 DeFi의 미래
최근 일련의 사건 속에서 OpenZeppelin의 공동 창립자 Manuel Aráoz는 AI 지원 취약점 발견의 발전이 공격을 실행하기 쉽게 만들고 있다고 경고했습니다. crypto.news에서 인용된 Aráoz의 발언에 따르면, 그는 이제 “모든 DeFi”가 안전하지 않다고 생각하며, 공격자들이 개발자가 패치하기 전에 소프트웨어 약점을 식별할 수 있는 강력한 도구에 점점 더 접근할 수 있게 되었다고 말했습니다.
DefiLlama에 따르면, 암호화폐 익스플로잇으로 인해 누적 손실이 170억 달러를 초과했으며, 이 중 약 78억 달러가 DeFi 프로토콜에서 도난당한 것으로 나타났습니다.
