Curve Finance의 보안 경고
Curve Finance의 창립자 마이클 에고로프는 Decrypt와의 인터뷰에서 “고용된” 해커들이 플랫폼 간 공격을 조정하고 있다고 경고하며, 이로 인해 분산형 금융(DeFi) 프로젝트의 보안을 유지하는 것이 점점 더 어려워지고 있다고 전했습니다. 그가 언급한 한 가지 사례는 지난달 Curve Finance에 대한 DNS 공격입니다. 이 공격으로 인해 분산형 금융 프로토콜의 프론트엔드 웹사이트가 손상되어, 공격자가 사용자를 악성 사이트로 리디렉션할 수 있었습니다.
에고로프는 “서로 다른 해커들이 플랫폼 전반에서 협력하여 동시에 공격을 감행함으로써 더 큰 영향과 이익을 얻을 수 있다”고 강조했습니다.
그는 또한 곧장 공격이 성공할 수 있었던 방법을 자세히 설명했습니다. “팀의 강력한 비밀번호와 이중 인증 사용에도 불구하고, 등록 기관이 ‘Curve의 도메인 소유권을 이메일 통보 없이 다른 사람에게 이전했다'”고 주장했습니다. 이와 같은 사건에도 불구하고 위협 행위자들은 점점 더 계산된 행동을 할 수 있게 됩니다.
에고로프는 “일부 해커들은 특정 프로젝트를 겨냥하기 위해 뇌물을 받을 수도 있다“고 말하며, 해커들이 플랫폼 간에 협력하여 동시에 공격함으로써 더 큰 영향과 이익을 얻을 수 있다고 경고했습니다. 그리고 전통적인 은행과 같은 기존 인프라와 비교하면서, 그는 SMS 기반의 이중 인증과 같은 방법이 “근본적으로 안전하지 않으며 피해야 한다”고 강조했습니다.
암호화폐 부문에서의 상황
그러나 암호화폐 부문에서는 상황이 크게 다를 수 있다고 에고로프는 말했습니다. “모든 거래가 거의 즉시 확정되므로 공격이 시작되면 설계상 되돌릴 수 없다”고 그는 설명했습니다. “보안 기준의 기준은 훨씬 높고, 오늘날의 인터넷 인프라는 이러한 요구를 충족하기 위해 구축되지 않았습니다.”
CertiK 보고서와의 관련성
에고로프의 경고는 블록체인 보안 회사 CertiK의 5월 보안 보고서와 함께 나왔습니다. 이 보고서는 암호화폐 분야에서 코드 취약점이 가장 일반적인 공격 유형이라고 밝혔습니다. CertiK의 선임 블록체인 보안 연구원 나탈리 뉴슨은 Decrypt와 공유된 보고서에서 코드 취약점이 “착취된 자금의 대다수를 차지했다”고 언급하며, 이로 인해 2억 2,900만 달러 이상의 손실이 발생했다고 밝혔습니다. 이 수치는 5월 말 Cetus Protocol에 가해진 피해와 관련이 있으며, 이는 5월에 발생한 최대 단일 공격을 나타냅니다.
암호화폐 부문 전반에서 해커들은 5월에 9건의 주요 침해 사건에서 약 3억 200만 달러를 탈취했으며, 이는 4월의 3억 6,400만 달러 총액에 비해 약 16% 감소한 수치입니다. 공격자들은 Cetus Protocol의 스마트 계약의 취약점을 악용하여 가격을 조작하고 유동성을 제거하기 위해 스푸프 토큰을 사용했습니다. 이 공격은 “오라클 조작 공격”으로 분류되었으며, 블록체인 보안 회사 Cyvers가 당시 Decrypt에 밝혔습니다.
편집: 스테이시 엘리엇
