블록체인 보안 사고 개요
블록체인 보안 회사 Slowmist에 따르면, DIP 토큰의 코딩 결함으로 인해 Etherisc 생태계의 필수 유틸리티 자산인 DIP 토큰에서 공격자가 약 $111,098의 USD Coin (USDC)을 유출할 수 있게 되었습니다.
코드 결함의 원인
주요 내용으로는 Slowmist가 DIP 토큰 코드에서 누락된 return 문이 약 $111,098의 USDC를 유출시켰다고 전한 것입니다. 이 결함은 Pancakeswap을 통한 전송을 두 배로 늘려, 올해 Slowmist가 기록한 2,150건 이상의 사건에 추가되었습니다.
“공격자는
skim(router)를 호출하여 이중 DIP 전송을 유도한 다음,sync를 호출하여 DIP 준비금을 극도로 낮은 값으로 설정하여 AMM 가격을 조작하여 풀을 비웠다.”
DeFi 해킹 현황
DeFi는 2026년 동안 해킹으로 인해 10억 달러 이상을 잃었으며, 하반기로 접어들면서 감사 수요가 높아지고 있습니다. Slowmist는 위협 정보 경고에서 이 사건을 경고하며 손실을 111,097.6 USDC로 지적했습니다.
코드 결함의 영향
전체 작전의 메커니즘은 Pancakeswap과 같은 분산형 거래소가 거래자와 유동성 풀 간에 토큰을 이동시키기 위해 자동화된 라우터 계약에 의존하기 때문에 꽤 평범해 보입니다. 토큰은 자신의 전송 함수에 사용자 정의 로직을 추가할 수 있지만, 그 로직이 라우터 상호작용을 잘못 처리할 경우 반복적이고 의도치 않은 지급이 발생할 수 있는 여지가 생깁니다.
DIP 사례에서 누락된 “return” 문은 한 번의 전송 후 멈춰야 할 코드가 두 번째로 실행되도록 만들었습니다. 라우터에 접촉한 각 거래는 사실상 두 번 지급되었고, 조용히 USDC가 풀에서 유출되었습니다.
결론 및 교훈
이 버그는 플래시 대출, 오라클 트릭 또는 도난당한 키가 필요하지 않았으며, 단지 토큰 자체 코드의 결함만 필요했습니다. 이러한 라우터 인식 및 전송 수수료가 있는 토큰은 Binance 연결 체인에서 흔하며, 프로젝트는 종종 표준 토큰 템플릿에 추가 동작을 부여합니다.
DIP 손실은 올해의 주요 해킹 사건에 비해 작지만, 코드 수준의 실패가 지속적으로 발생하고 있음을 보여줍니다. Slowmist의 공개 해킹 데이터베이스만 해도 2,150건 이상의 사건과 약 378억 달러의 누적 손실을 기록했습니다.
회수가 확인되지 않고 공격자가 여전히 확인되지 않은 상황에서, DIP 사건은 단 하나의 누락된 코드 줄이 풀을 비울 수 있다는 반복적인 교훈을 강화하며, DeFi 손실이 증가함에 따라 독립 감사가 주요 방어선으로 남아있음을 보여줍니다.
