2023년 7월 30일, 커브 파이낸스의 여러 유동성 풀이 악용되어 약 7천만 달러의 손실이 발생했고, 디파이 생태계가 패닉 상태에 빠졌습니다. 이러한 해킹은 커브 및 기타 탈중앙화 프로토콜에서 사용하는 이더리움 스마트 컨트랙트를 위한 타사 파이토닉 프로그래밍 언어인 바이퍼의 취약점으로 인해 발생했습니다. 이후 여러 화이트햇 해커와 MEV 봇 운영자가 일부 자금을 회수하는 데 도움을 주었기 때문에 실제 손실된 금액은 현재 보고된 총액보다 적을 수 있습니다. 아래에서 해킹에 대해 현재까지 파악된 내용을 공유해드리겠습니다.
익스플로잇은 어떻게 발생했나요?
바이퍼는 파이썬과 유사하기 때문에 개발자들이 탈중앙 금융 생태계에 진입하기 위한 매력적인 진입점이 되었습니다. 바이퍼에 따르면 0.2.15, 0.2.16, 0.3.0 버전에는 일부 스마트 콘트랙트가 재진입 공격에 취약한 문제가 있었는데, 공격자가 콘트랙트를 속여 잔액을 잘못 계산하도록 하여 콘트랙트 프로토콜이 보유한 자금을 탈취할 수 있게 하는 공격입니다.
이 대규모 해킹은 1,200만 달러에 달하는 NFT 대출 프로토콜 JPEG의 pETH-ETH 풀을 익스플로잇하는 것으로 시작되었습니다. 그러나 이 공격은 공격자가 원하는 익스플로잇을 식별하고 원래 트랜잭션이 발생하기 전에 유사한 트랜잭션을 실행한 MEV 봇이 주도한 것으로 보이며, 이는 화이트 햇 해킹으로 추정됩니다.
얼마 지나지 않아 일련의 개별 공격이 다른 풀을 공격했으며, Alchemix DAO의 알케미믹스(alETH-ETH)는 2,000만 달러(이더리움 1,700만 달러, ERC-20 300만 달러), 메트로놈 DAO의 sETH-ETH는 160만 달러, Curve의 CRV/ETH 풀은 1,800만 달러에 달하는 피해를 입었습니다. 이후 Curve의 CEO인 마이클 이고로프는 텔레그램을 통해 Curve의 스왑 풀에서 2,200만 달러 상당의 CRV 토큰이 유출되었음을 확인했습니다.
MEV 봇은 커브에 대한 해킹 시도를 주도하는 데 크게 관여했으며, 그 결과 이더리움 역사상 가장 큰 MEV 블록 보상을 받았습니다. 일부 경우, MEV 봇 운영자가 화이트 햇으로 활동하며 악의적인 트랜잭션의 프론트 런에서 커브에서 탈취한 자금을 반환하기도 했지만, 이러한 활동의 범위는 아직 알려지지 않았습니다. 특히 한 MEV 봇 운영자 c0ffeebabe.eth는 프론트런 익스플로잇을 많이 수행해 왔습니다. 이 화이트햇 해커는 2023년 4월 스시스왑 라우터 계약의 버그와 같은 과거 사건에서 프론트런 익스플로잇을 실행하고 자금을 반환했습니다. 커브의 경우, c0ffeebabe.eth는 CRV/ETH 풀에서 약 530만 달러, 메트로놈 msETH 풀에서 약 160만 달러를 성공적으로 익스플로잇했으며, 이후 영향을 받은 두 프로토콜에 자금을 반환했습니다.
아래 체인 분석 반응기 그래프에서 이러한 움직임의 일부를 확인할 수 있습니다:
커브 익스플로잇의 여파
해킹 소식이 전해진 후 CRV는 5% 하락했습니다. 이러한 하락은 수백만 달러 상당의 CRV를 보유한 악의적인 해커가 현재 유동성이 없는 토큰 시장에 판매할 수 있다는 위험과 함께 일부 디파이 프로토콜에 대한 전염 효과에 대한 두려움을 촉발시켰습니다. 특히, 대출 프로토콜 AAVE는 알고로프가 CRV 토큰을 담보로 한 대규모 대출 포지션으로 인해 부채가 발생할 위험에 처해 있는 것으로 보입니다.
현재 커브는 구체적인 회수 계획을 밝히지 않았지만, 바이퍼 기반 풀에서 자금을 인출하라고 공개적으로 사용자에게 권고했습니다. 저희는 체이널리시스 제품에서 커브 해킹과 관련된 모든 주소에 라벨을 붙였으며, 가능한 경우 상황에 대한 업데이트를 계속 제공할 것입니다.