해커의 공격과 자산 세탁
사이버 보안 회사 PeckShield에 따르면, 해커가 유동성 제공업체 TrustedVolumes에서 발생한 $6.7 백만의 도난 자산을 세탁하기 시작했습니다. 새로운 데이터에 따르면, 해커는 수십만 달러 상당의 이더리움(ETH)을 이동하기 시작했습니다.
“TrustedVolumes의 해커는 지금까지 $278,000의 도난 자금을 세탁했습니다. 그들은 10.2 ETH($23,600)를 TornadoCash에 입금하고, 110 ETH($250,000)를 THORChain을 통해 비트코인(BTC)으로 세탁했습니다. 또한 Railgun에 0.5 ETH를 입금하려 했으나 마음을 바꿔 다시 보냈습니다. TrustedVolumes는 5월 7일에 약 $6.7 백만이 유출되었습니다.”
TrustedVolumes는 해커와의 해결책 협상에 열려 있다고 밝혔습니다. 이 회사는 도난당한 암호화 자산 중 약 $3 백만을 보유한 두 개의 지갑 주소와 $700,000 상당의 자산을 보유한 하나의 지갑 주소를 나열했습니다.
“우리는 최근에 해킹을 당했습니다. 우리는 버그 바운티와 상호 수용 가능한 해결책에 대한 건설적인 소통에 열려 있습니다.”
해킹의 원인
블록체인 보안 회사 QuillAudits는 해커가 플랫폼의 맞춤형 주문 정산 시스템의 설계 결함을 이용해 단일 거래로 수백만 달러를 빼낼 수 있었다고 밝혔습니다. TrustedVolumes는 1inch 시장 조성자 및 해결자로 운영되며, 맞춤형 요청-견적(RFQ) 프록시를 통해 온체인 유동성을 제공합니다.
RFQ 모델에서는 조성자가 특정 토큰 쌍에 대한 특정 가격을 제시하는 주문을 미리 서명합니다. 수취자는 그 서명된 견적을 정산 계약에 제시하며, 계약은 서명을 검증하고 원자적으로 스왑을 실행합니다. 이 시스템은 세 가지 보장이 협력하여 작동해야 하며, 조성자는 자신의 이름으로 주문을 서명할 수 있는 사람을 승인해야 하고, 각 서명된 주문은 한 번만 이행되어야 하며(재생 방지), 이행을 위한 토큰 출처는 인증된 조성자의 자체 재고여야 하며 임의의 제3자 주소가 아니어야 합니다.
TrustedVolumes의 구현에서는 이 세 가지 보장이 동시에 실패했으며, 공격자는 이를 단일 조합 거래에서 이용했습니다.
