출처: 토큰포스트
파이크 파이낸스는 최근 해킹이 USDC 취약점이 아닌 자체 계약 기능의 약점으로 인한 것이었음을 인정했다. 4월 두 차례의 공격으로 인해 상당한 금전적 손실을 입었다.
1일(현지시간) 크립토슬레이트에 따르면, 5월 1일 DeFi 프로토콜 파이크 파이낸스는 최근 발생한 해킹에 대한 설명을 수정하면서, 이전에 언급한 바와 달리 USDC 취약점으로 인한 것이 아니라고 밝혔다.
회사의 최신 성명에 따르면 “‘USDC 취약점’이라는 용어는 지난주 해킹을 요약하기에 부정확했다”고 한다.
대신 서클의 크로스체인 전송 프로토콜(CCTP)에서의 전송 처리와 관련된 문제 등 파이크 계약 기능의 약점이 이 사건을 발생시켰다고 설명했다.
또한 해킹의 근본 원인은 CCTP나 스마트 계약 자동화 프로토콜 젤라토에 의해 가능해진 서클의 USDC ‘기능과 견고성’과는 무관하다고 덧붙였다.
파이크 파이낸스는 4월 26일 첫 번째 공격에 대한 설명에서 이 해킹이 제3자 기술에 대한 프로토콜 팀의 ‘부적절한 통합’의 결과이며, 특정 검사에 대한 책임은 ‘통합자로서 파이크에 전적으로 있다’고 언급하면서 완전한 책임을 인정했다.
그러나 4월 30일 사건 이후 첫 번째 공격을 회고적으로 언급하면서 “USDC 취약점”과 관련이 있을 수 있다고 오해의 소지가 있게 말했다.
각 공격으로 인해 파이크 파이낸스는 상당한 손실을 입었다.
4월 30일 공격으로 99,970.48 ARB, 64,126 OP, 479.39 ETH가 도난당했다. 서틱 데이터에 따르면 이 사건으로 170만 달러의 손실이 발생했다.
앞서 있었던 4월 26일 공격에서는 파이크 파이낸스 성명에 따르면 이더리움, 아비트럼, 옵티미즘에서 299,127 USDC가 손실되었다.
각 공격의 원인
첫 번째 공격은 4월 26일 젤라토에 의해 자동화된 CCTP에서 USDC 전송과 관련된 기능으로 인해 발생했다. 이 취약점으로 인해 공격자는 수신자의 주소와 금액을 변경할 수 있었고, 파이크 파이낸스는 이러한 기능을 부적절하게 통합했기 때문에 이를 유효한 것으로 처리했다.
파이크 파이낸스는 감사 파트너사인 오터섹이 이 문제를 알려왔다고 밝혔다. 프로토콜은 공격 전에 취약점을 해결하지 못했다고 덧붙였다.
두 번째 공격은 파이크 파이낸스가 네트워크를 일시 중지하기 위해 스포크 계약을 업그레이드한 후 발생했다. 이 업데이트로 인해 결과적으로 계약이 초기화되지 않은 것처럼 작동하게 되어 공격자가 계약을 업그레이드하고 관리자 접근을 우회하며 자금을 인출할 수 있게 되었다.
파이크 파이낸스는 해킹 피해를 입은 많은 DeFi 프로젝트 중 하나다. 그러나 최근 보고서에 따르면 4월에는 사기와 해킹으로 인한 손실이 감소한 것으로 나타났다.