출처: 토큰포스트
SIR트레이딩이 약 35만5000달러 규모의 자금 탈취 공격을 당하면서, 이더리움의 최근 덴쿤 업그레이드 관련 취약점이 새롭게 부각되고 있다.
1일(현지시간) 크립토뉴스에 따르면, 탈중앙화 금융 프로토콜 SIR트레이딩(SIR.trading)이 전체 예치 자산을 손실하는 치명적인 공격을 당해 창립자가 해커에게 10만 달러의 현상금을 내걸고 남은 탈취 자금의 반환을 공개적으로 요청했다. 이번 공격은 이더리움의 최근 덴쿤(Dencun) 업그레이드와 관련된 새로운 우려를 불러일으켰다.
3월 31일, SIR트레이딩의 익명 창립자 자타레르(Xatarrer)는 온체인 상에서 해커에게 호소문을 남겼다. 그는 막대한 재정적 손실에도 불구하고 이번 공격 기술을 “거의 아름답다”고 표현하며 공격자의 능력을 인정했다. 자타레르는 공격자에게 취약점 발견에 대한 보상으로 10만 달러를 제공하는 대신 나머지 자금을 반환해달라고 요청했다.
자타레르는 SIR트레이딩이 벤처캐피털 지원을 받는 프로젝트가 아니라 4년에 걸쳐 구축된 풀뿌리 프로젝트이며, 친구들과 지지자들로부터 7만 달러의 자금을 모았다고 설명했다. 그는 탈취된 자금이 없으면 플랫폼이 생존할 수 없다고 밝혔다. 현재까지 공격자는 이 요청에 응답하지 않고 있다.
온체인 데이터에 따르면, 탈취된 자산은 이미 레일건(Railgun)이라는 거래 추적을 어렵게 만드는 프라이버시 프로토콜을 통해 처리되어 자금 회수가 더욱 어려워진 상황이다.
SIR트레이딩 공격에 이용된 취약점은 덴쿤 업그레이드에서 도입된 이더리움의 일시적 저장소(transient storage) 기능과 관련이 있다. 블록체인 보안 전문가들이 매우 정교하다고 평가한 이번 공격은 SIR트레이딩의 볼트(Vault) 계약 내 ‘uniswapV3SwapCallbacK’ 함수를 악용했다.
블록체인 보안 회사 디큐리티(Decurity)의 분석에 따르면, 공격자는 일시적 저장소를 활용해 계약 내에서 거래가 검증되는 방식을 조작했다. 계약이 정당한 유니스왑(Uniswap) 풀만 스왑을 실행하도록 보장하는 대신, 해커가 제어하는 가짜 유니스왑 풀 주소를 신뢰하도록 속였다. 이는 일시적 저장소가 거래가 완료된 후에만 재설정되기 때문에 가능했으며, 공격자는 실행 중에 보안 매개변수를 수정할 수 있었다.
블록체인 연구원 이(Yi)의 추가 분석에 따르면, 공격자는 계약의 예상 매개변수와 일치하는 베니티 주소를 무차별 대입 방식으로 생성했다. 이를 통해 SIR트레이딩 볼트의 모든 자산을 탈취해 전체 예치 자산을 모두 소멸시켰다.
자타레르는 이번 공격의 파괴적 특성을 인정하며 “프로토콜이 받을 수 있는 최악의 소식”이라고 표현했다. 그럼에도 불구하고 그는 재건에 대한 의지를 표명하며 커뮤니티에 가능한 다음 단계에 대한 의견을 요청했다.
SIR트레이딩 사건은 탈중앙화 금융 부문 내 증가하는 보안 침해의 더 넓은 추세의 일부이다. SIR트레이딩 공격 발생 6일 전, 또 다른 주요 공격이 탈중앙화 대출 프로토콜 아브라카다브라머니(Abracadabra.Money)를 표적으로 삼아 1300만 달러의 손실을 초래했다.
펙실드(PeckShield)가 3월 25일 감지한 아브라카다브라 공격은 특히 GMX 토큰을 활용하는 풀을 표적으로 삼았다. 공격자들은 아브라카다브라의 스마트 계약 인프라의 취약점을 악용해 6,260 ETH를 탈취했다. 이는 플랫폼의 스테이블코인 매직 인터넷 머니(MIM)가 디버그되는 원인이 된 649만 달러 손실에 이어 2024년 두 번째 큰 사건이다.
유사하게 2024년 2월 암호화폐 부문은 약 15억3000만 달러의 손실을 기록했으며, 이는 1월에 보고된 9800만 달러 손실보다 1,500% 증가한 수치다. 가장 큰 단일 손실은 북한 라자루스 그룹의 소행으로 추정되는 2월 21일 바이비트(Bybit) 해킹으로, 약 14억 달러가 탈취되어 역사상 가장 큰 암호화폐 해킹 중 하나로 기록되었다.
현재 자타레르는 해커가 현상금 제안을 수락하길 바라고 있지만, 실제로는 이러한 탈취된 자금의 대부분이 영영 회수되지 못할 가능성이 높아 보인다.
