탈중앙화 금융(DeFi)은 전통적인 중개자 없이 혁신적인 금융 서비스를 제공하면서 암호화폐 세계의 주요 플레이어가 되었습니다. 그러나 DeFi 프로토콜은 아직 개발 중이며 스마트 계약은 악용에 취약할 수 있습니다. 이것이 바로 2024년 7월 12일 Dough Finance에 일어난 일입니다. 플래시 대출 공격으로 인해 디지털 자산 180만 달러의 손실이 발생했습니다.
Dough Finance에 무슨 일이 있었습니까?
7월 12일 Web3 보안 회사인 Cyvers는 Dough Finance 프로토콜에서 의심스러운 거래를 탐지했습니다. 그들은 즉시 대출 프로토콜 Aave에 연락하여 풀이 영향을 받았는지 확인했지만 Aave는 시스템이 안전하다는 것을 확인했습니다. 안타깝게도 Dough Finance는 그렇게 운이 좋지 않았습니다.
공격자는 플래시론을 활용하여 Dough Finance의 스마트 계약을 조작했습니다. 플래시론은 사용자가 동일한 거래 내에서 상환하는 한 즉시 대량의 암호화폐를 빌릴 수 있는 DeFi 기능입니다. 공격자는 이 기능을 사용하여 Dough Finance의 "ConnectorDeleverageParaswap" 계약의 취약점을 악용했습니다.
공격은 어떻게 이루어졌습니까?
보안 제공업체 Olympix는 공격을 분석한 결과 취약점이 검증되지 않은 통화 데이터에서 비롯된 것으로 나타났습니다. 콜데이터(Calldata)는 블록체인에서 거래와 함께 전달되는 데이터를 의미합니다. Dough Finance의 경우 차입 자금 활용을 담당하는 계약(ConnectorDeleverageParaswap)이 플래시 호출 중에 수신한 데이터를 제대로 확인하지 못했습니다. 이를 통해 공격자는 자신의 이익을 위해 데이터를 조작할 수 있었습니다.
공격자는 통화 데이터를 조작함으로써 본질적으로 Dough Finance 계약을 속여 실제 보유 자금보다 더 많은 자금을 예치했다고 믿게 만들었습니다. 이를 통해 그들은 거래를 완료하고 플래시 대출을 상환하기 전에 상당한 양의 암호화폐 자산을 빼돌릴 수 있었습니다. 보도에 따르면 공격자는 당시 약 180만 달러 상당의 608 ETH를 훔쳤습니다.
이 공격의 의미는 무엇입니까?
Dough Finance 공격 사건은 DeFi 내에서 지속적인 보안 도전 과제를 드러내고 있습니다. DeFi는 흥미로운 가능성을 제공하지만, 스마트 계약에 대한 의존은 잠재적인 취약점을 만들어냅니다. 해커들은 이러한 계약의 취약성을 지속적으로 탐색하고 있으며, 개발 과정이나 감사 중의 어떤 실수라도 비용이 많이 드는 공격으로 이어질 수 있습니다.
이 공격의 영향은 Dough Finance 자체를 넘어서는 것입니다. 보안 전문가들은 공격된 계약에 자금을 예치한 사용자가 영향을 받을 수 있다고 경고합니다. Aave 풀은 안전하게 유지되지만 Dough Finance 사용자는 예방 조치로 안전한 지갑으로 자금을 인출하는 것이 좋습니다.
미래 전망: DeFi 보안을 어떻게 개선할 수 있습니까?
Dough Finance 사건은 DeFi 프로토콜에서 강력한 보안 조치의 필요성을 강조합니다. 다음은 몇 가지 주요 내용입니다.
철저한 스마트 계약 감사: 평판이 좋은 보안 회사의 정기적인 감사는 잠재적인 취약점이 악용되기 전에 이를 식별하고 해결하는 데 필수적입니다.
커뮤니티 참여: 오픈 소스 개발을 통해 커뮤니티에서 코드를 면밀히 조사할 수 있지만 개발자가 커뮤니티에서 제기한 문제를 적극적으로 해결하는 것이 중요합니다.
지속적인 모니터링: Cyvers와 같은 보안 회사는 DeFi 프로토콜에서 의심스러운 활동을 모니터링하는 데 중요한 역할을 합니다. 조기 감지와 신속한 조치는 공격의 영향을 완화하는 데 도움이 될 수 있습니다.
DeFi 공간은 지속적으로 발전하고 있으며, 보안은 여전히 최우선 과제입니다. 더 엄격한 보안 조치를 시행하고, 개방적인 커뮤니케이션을 유지하며, 경계를 지키는 것으로 DeFi 커뮤니티는 더 안전한 미래를 향해 나아갈 수 있습니다.
