DeFi 대출 프로토콜 Abracadabra의 해킹 사건
DeFi 대출 프로토콜인 Abracadabra가 또 다시 공격을 받아 약 180만 달러 상당의 MIM 토큰을 잃었습니다. 이번 공격은 “cook” 기능의 결함을 이용한 정교한 방식으로 발생했습니다. 이는 올해 Abracadabra와 관련된 세 번째 주요 해킹 사건으로, 플랫폼의 계약 보안에 대한 우려를 더욱 심화시키고 있습니다.
5월 초, 이 프로토콜은 650만 MIM을 재매입하여 3월 공격에서 잃은 1300만 달러의 약 절반을 보전했습니다. 팀은 사용자 자금에 영향이 없음을 확인하고, 1900만 달러의 재무금 중 일부를 MIM 재매입 및 공급 안정화에 할당했다고 밝혔습니다.
특히 블록체인 데이터에 따르면 공격자는 여섯 개의 서로 다른 지갑 주소에서 동일한 결함을 이용했습니다. 특정 행동 순서로 “cook” 기능을 호출함으로써 공격자는 1,793,755 MIM 토큰을 빌리고, 이후 이를 다른 자산으로 교환하여 총 약 170만에서 180만 달러의 이익을 얻었습니다.
보안 분석가들은 이번 공격이 재진입 버그나 일반적인 플래시 론 취약점 때문이 아니라 코드의 논리적 오류에서 비롯된 것이라고 확인했습니다. 영향을 받은 거래와 관련된 지갑은 모니터링 플랫폼에 의해 표시되었습니다. Abracadabra의 개발 팀은 DAO가 이 공격을 식별하고 완화했으며, 다른 자금이나 사용자는 위험에 처하지 않았다고 밝혔습니다.
“cook” 기능의 악용
블록체인 보안 회사 BlockSec에 따르면, 이번 공격은 Abracadabra의 “cook” 기능을 목표로 했습니다. 이 기능은 사용자가 단일 거래에서 여러 개의 미리 정의된 작업을 실행할 수 있도록 설계되었습니다. 이 설계는 효율성을 높이기 위한 것이지만, 기능 내에서 공유 상태 추적으로 인해 위험한 취약점을 초래했습니다.
“cook” 기능 하에서 수행된 각 작업은 단일 상태 변수를 공유합니다. 대출 작업(행동 = 5)이 발생하면 시스템은 거래 종료 시 지급 능력 검사가 필요하다는 플래그를 설정합니다. 그러나 다른 작업(행동 = 0)이 뒤따르면 내부 도우미 함수인 “additionalCookAction”을 호출합니다. 이 도우미 함수는 사실상 비어 있으며 지급 능력 플래그를 false로 재설정하여 이전 설정을 무시합니다. 이 실수로 인해 공격자는 두 작업 [5, 0]을 결합하여 자산을 빌리면서 지급 능력 검증을 우회할 수 있었습니다.
결과적으로 최종 지급 능력 검사가 실행되지 않아 공격자가 프로토콜 자금을 유출할 수 있었습니다. 분석가들은 DeFi 플랫폼이 유연성과 조합성을 우선시함에 따라 공격자들이 복잡한 스마트 계약 논리 내에서 간과된 의존성을 식별하는 데 점점 더 능숙해지고 있다고 경고합니다. 프로토콜과 사용자 자금을 보호하기 위해서는 테스트 프레임워크 강화, 코드 리뷰 개선 및 지속적인 모니터링 구현이 필수적인 단계로 여겨집니다.
2025년 DeFi 해킹 증가 추세
분산 금융(DeFi) 분야는 2025년에 기록적인 해킹 사건이 증가하며 가장 힘든 해 중 하나를 맞이하고 있습니다. 같은 피해자인 Abracadabra는 2025년 3월 25일에 복잡한 논리적 결함을 악용한 공격으로 1300만 달러 상당의 Ether(ETH) 침해를 당했습니다. 이번 공격은 GMX 토큰 풀을 목표로 하여 6,260 ETH를 유출했습니다.
일반적인 취약점이 산술 오류나 접근 제어와 관련된 것과는 달리, 이번 공격은 다단계 거래 논리를 활용하여 감사 중에 탐지하기 매우 어려웠습니다. 이는 Abracadabra의 올해 두 번째 주요 공격으로, 2024년 1월에 발생한 649만 달러 사건에 이어 Magic Internet Money(MIM) 스테이블코인을 불안정하게 만들었습니다.
이 공격은 이더리움의 여러 “가마솥”을 포함했습니다. 블록체인 탐정 Cyvers Alerts는 해커가 제재된 프라이버시 믹서인 Tornado Cash에서 1 ETH를 사용하여 작전을 자금 조달하고, 결국 2,740 ETH를 유출하고 400만 달러를 새로운 지갑으로 이동했다고 밝혔습니다.
Abracadabra 공격은 증가하는 암호화폐 도난의 광범위한 추세의 일환입니다. Chainalysis에 따르면 2025년 1월부터 6월 사이에 21억 7천만 달러가 도난당했으며, 이는 2024년 전체 손실과 거의 일치합니다. CertiK는 이 수치를 24억 7천만 달러로 더 높게 평가했으며, 이는 주로 2월의 15억 달러 Bybit 해킹에 의해 촉발되었습니다. 이는 역사상 가장 큰 거래소 침해 사건 중 하나입니다.
월별로 해킹 사건은 2025년 9월에 약 1억 2,706만 달러의 손실을 초래했습니다. 이 수치는 8월의 1억 6,300만 달러에서 22% 감소한 것이지만, 여전히 거의 20건의 주요 공격이 기록되었습니다. 감소에도 불구하고 공격 활동은 여전히 높으며, 9월 손실은 7월의 1억 4,200만 달러를 초과했습니다. 2025년 중반 손실이 이미 2024년 전체 도난액인 22억 달러를 초과함에 따라, 분석가들은 더 강력한 보안 조치가 없으면 올해가 암호화폐 역사상 침해 사건 중 최악의 해가 될 수 있다고 경고하고 있습니다.
