Go Security는 공격자들이 침해 이후 이미 약 51 ETH를 Tornado Cash를 통해 세탁한 것을 확인했습니다. 보고 당시 0x1AaaDe로 확인된 공격자의 지갑에는 약 344개의 이더리움(약 155만 달러)이 남아 있었습니다.
보안 연구원 웨이린 리는 이 익스플로잇을 확인했으며 공격자가 아브라카다브라의 스마트 계약 변수를 조작하여 신용 확인을 우회했다고 설명했습니다. 이 조작을 통해 의도한 한도를 초과하여 자산을 빌릴 수 있었고, 아브라카다브라 팀은 추가 손실을 막기 위해 모든 계약을 일시 중지했습니다.
또 다른 블록체인 감사 업체인 팔콘은 근본 원인을 플랫폼 기능의 잘못된 논리 시퀀스로 추적했습니다. 이는 사용자가 단일 트랜잭션에서 미리 정의된 여러 작업을 수행할 수 있도록 하는 메커니즘입니다.
.@MIM_Spell는 몇 시간 전에 공격을 받아 170만 달러의 손실이 발생했습니다. 근본 원인은 사용자가 단일 트랜잭션에서 미리 정의된 여러 작업을 실행할 수 있도록 하는 cook 함수의 구현 로직에 결함이 있기 때문입니다. 특히, 이러한 작업은 다음과 같은 공통점을 공유합니다. pic.twitter.com/4tQzkRbwcT
첫 번째는 액션 5로 알려진 것으로, 지급 능력 검사를 통과해야 하는 대출 프로세스를 시작했습니다. 두 번째는 조치 0이라고 하는 빈 업데이트 기능으로 제어 플래그를 다시 작성하고 최종 유효성 검사 단계를 건너뛰었습니다. 공격자는 6개의 다른 주소에서 이 패턴을 반복하여 179만 개 이상의 MIM 토큰을 유출했습니다.
프로토콜 보안의 격동적인 역사
이번 사건이 사실이라면, 앞서 두 건의 더 큰 침해 사건에 이어서 발생한 것입니다. 2024년 1월, 이 플랫폼은 해킹으로 인해 649만 달러의 손실을 입었고,stablecoin MIM을 미국 달러에서 잠시 사용하지 못하게 되었습니다.
2025년 3월의 두 번째 공격은 cauldron 계약에서 1300만 달러를 추가로 빼갔고, 이후 팀은 해커에게 20% 보상을 제공했습니다.
보도 시점에 아브라카다브라는 아직 이 사건에 대해 공개적으로 언급하지 않았으며 프로젝트의 공식 X 계정도 9월 초부터 침묵을 지키고 있습니다.
그러나 Go Security는 아브라카다브라 팀이 디스코드에서 DAO의 예비 자금을 사용하여 영향을 받은 MIM 공급을 다시 구매할 것이라고 확인했다고 보도했습니다.
탈중앙화 금융(DeFi) 프로젝트 아브라카다브라가 플랫폼에서 약 170만 달러를 빼돌린 새로운 익스플로잇을 겪으며 2년 만에 프로토콜의 세 번째 주요 보안 사고가 발생했습니다.
블록체인 보안 회사 Go Security가 10월 4일에 보고한 이 침해로 인해
DeFi 프로토콜과 크로스체인 대출 아키텍처의 지속 가능성에 대한 새로운 의문이 제기되었습니다.
공격 세부 정보
Go Security는 공격자들이 침해 이후 이미 약 51 ETH를 Tornado Cash를 통해 세탁한 것을 확인했습니다. 보고 당시 0x1AaaDe로 확인된 공격자의 지갑에는 약 344개의 이더리움(약 155만 달러)이 남아 있었습니다.
보안 연구원 웨이린 리는 이 익스플로잇을 확인했으며 공격자가 아브라카다브라의 스마트 계약 변수를 조작하여 신용 확인을 우회했다고 설명했습니다. 이 조작을 통해 의도한 한도를 초과하여 자산을 빌릴 수 있었고, 아브라카다브라 팀은 추가 손실을 막기 위해 모든 계약을 일시 중지했습니다.
또 다른 블록체인 감사 업체인 팔콘은 근본 원인을 플랫폼 기능의 잘못된 논리 시퀀스로 추적했습니다. 이는 사용자가 단일 트랜잭션에서 미리 정의된 여러 작업을 수행할 수 있도록 하는 메커니즘입니다.
회사에 따르면 공격자는 주요 안전장치를 우회하는 두 가지 작업을 수행했습니다.
첫 번째는 액션 5로 알려진 것으로, 지급 능력 검사를 통과해야 하는 대출 프로세스를 시작했습니다. 두 번째는 조치 0이라고 하는 빈 업데이트 기능으로 제어 플래그를 다시 작성하고 최종 유효성 검사 단계를 건너뛰었습니다. 공격자는 6개의 다른 주소에서 이 패턴을 반복하여 179만 개 이상의 MIM 토큰을 유출했습니다.
프로토콜 보안의 격동적인 역사
이번 사건이 사실이라면, 앞서 두 건의 더 큰 침해 사건에 이어서 발생한 것입니다. 2024년 1월, 이 플랫폼은 해킹으로 인해 649만 달러의 손실을 입었고,stablecoin MIM을 미국 달러에서 잠시 사용하지 못하게 되었습니다.
2025년 3월의 두 번째 공격은 cauldron 계약에서 1300만 달러를 추가로 빼갔고, 이후 팀은 해커에게 20% 보상을 제공했습니다.
보도 시점에 아브라카다브라는 아직 이 사건에 대해 공개적으로 언급하지 않았으며 프로젝트의 공식 X 계정도 9월 초부터 침묵을 지키고 있습니다.
그러나 Go Security는 아브라카다브라 팀이 디스코드에서 DAO의 예비 자금을 사용하여 영향을 받은 MIM 공급을 다시 구매할 것이라고 확인했다고 보도했습니다.
다음 읽기
테라의 붕괴로 3,500만 달러의 암호화폐 베팅이 증발한 후 전 CFO에게 선고된 판결
전 CFO 네빈 셰티는 회사 자금 3,500만 달러를 자신의 탈중앙화 금융 플랫폼으로 몰래 이체한 후 사기 혐의로 유죄 판결을 받았고, 2022년 테라의 붕괴로 거의 모든 자금을 잃었습니다. 이 사기의 경위와 현재 상황은 다음과 같습니다.
아서 헤이즈, 지캐시 '쉴드'를 향해 나아갑니다: 반감기 및 규제 리스크에 초점을 맞추다
비트멕스의 전 CEO 아서 헤이즈는 지캐시(ZEC) 보유자들에게 거래소에서 코인을 출금하고 보호된 주소로 옮길 것을 촉구하며, 현재 지캐시가 두 번째로 큰 포지션이라고 밝혔습니다.
창립자의 UNI 토큰 소각 및 수수료 활성화 제안 후 유니스왑 가격 급등
헤이든 아담스가 1억 개의 UNI 토큰을 소각하고 수수료 소각을 활성화하여 UNI를 디플레이션 자산으로 만들겠다고 제안한 후 유니스왑의 가격이 두 배로 올랐습니다.
암호화폐 CEO, 입법자, 백악관, 탈중앙화 금융 감독에 대한 충돌
탈중앙화 금융 규제에 대한 논쟁은 미국이 오랫동안 기다려온 암호화폐 시장 구조 법안의 통과 여부를 결정할 수 있습니다.