스마트 컨트랙트와 DAO의 취약점

DeFi의 가장 큰 장점은 중간 사람의 개입 없이 프로그램 기반의 프로토콜로만 커뮤니케이션하면서 서로의 신뢰 없이 프로토콜을 신뢰하고 거래를 할 수 있다는데 있습니다. 하지만 막상 해당 프로토콜에 취약점이 있을 경우 해당 프로토콜을 이용하고 투자를 하는 투자자 입장에서는 위험에 노출 될 수 밖에 없습니다. 실제 최근의 DeFi 해킹 사례들을 들여다 봐도 마찬가지입니다. 이번에는 이더리움 기반의 스테이블코인 프로토콜이 당했습니다. 간단한 해킹 이력 정립합니다.

▫️ 해킹된 프로토콜 : Beanstalk Stablecoin.
▫️ 해킹 방법 : Aave에서 플래시론으로 거버넌스 토큰인 Stalk 를 빌려서 거버넌스 투표를 통해 자금을 원하는 주소로 뺌
▫️ Beanstalk는 Omnicia에서 오딧을 받음
▫️ 자금 유출은 24,830이더와 36M Bean이 유출됨 (해커는 약 80M USD정도 챙긴것으로 예측)
▫️ 스테이블코인인 BEAN은 1달러 패깅에서 86% 하락된 가격으로 주저앉음 (현재 거래가격 0.18USD)
▫️ 아직 운영주최측에서는 자금을 보상을 해줄 것인지 어떤 방향으로 해결할 것인지 결정되지 않음.

🔰 개인적인 생각
우선 스마트컨트랙트상에서 자금이 인출될 수 있는 AMM, 브릿지나 거버넌스로 자동적으로 자금의 이동이 가능한 프로토콜들의 경우는 언제나 기본적인 “자금에 의한 공격”도 가능하며, 특히 컨트랙트내에 자금을 많이 보유하고 있을 경우 해커들의 공격 대상이 되기도 합니다.

실제로 액시 인피니티의 경우도 브릿지를 직접 공격한 것이며, 이전에 웜홀의 경우도 브릿지를 공격한 경우였습니다. 이는 브릿지들이 기본적으로 환전을 위해서 가지고 있는 자금의 크기가 크기 때문에 공격 대상이 되고 있습니다.

▫️ Beanstalk - 거버넌스 토큰 해킹 - 약 110M 자금 유출 4월
▫️ 액시 인피니티 - 로닌 브릿지 해킹 - 약 625M 해킹 - 4월
▫️ 웜홀 - 솔라나 브릿지 해킹 - 약 320M 해킹 - 2월
▫️ 메테오.io - 브릿지 해킹 - 약 4.2M 해킹 - 2월
▫️ 폴리네트워크 브릿지 해킹 - 611M - 2020년 8월 (해킹 자금 돌려줌)

블록체인계가 통일천하가 이루어지지 않을 경우에는 (가능성 낮음) 브릿지의 경우는 계속 성장하고 커갈 것으로 예상됩니다. 하지만 자금인 온체인상에서 계속 머물게 되면서 DeFi의 성향을 가지고 있을 경우는 365일 24시간 해커들의 타깃이 될 수 밖에 없습니다. 그렇기 때문에 브릿징 기능을 가진 프로젝트들의 경우는 DeFi only에만 치중하지 않고, 중앙화된 보안 요소를 추가해서 hybrid 생태계를 통해 투자자들의 자금보안을 강화하는 것도 한가지 방법이라고 여겨지는 바입니다.

👉참조링크 : https://bit.ly/3KUj1iK
👉빈스톡 해킹 기사: https://bit.ly/3rzh57s
👉원본링크 : https://t.me/jayplaystudy