DeFi 해킹을 반복하시나요, 아니면 새로운 버그가 발생하시나요?

두 OG 프로토콜의 창시자인 Aave와 Maker(현 Sky)가 "DeFi 르네상스 순간"을 즐기며 스타크래프트를 놓고 친분을 쌓는 동안, 해당 분야의 덜 확립된 프로젝트 중 일부는 잘못된 이유로 역사상 무너지고 있었습니다. .

Two decentralized finance (DeFi) protocols were hacked on Friday for a combined total of over $5 million, while compromised wallets saw a further $5 million drained on Wednesday.

금요일에 2개의 탈중앙화 금융(DeFi) 프로토콜이 해킹되어 총 500만 달러가 넘는 피해를 입었고, 손상된 지갑에서는 수요일에 500만 달러가 추가로 유출되었습니다.

While the founders of two OG protocols, Aave and Maker (now Sky), enjoyed a game of Starcraft and reveled in a “DeFi renaissance moment,” some of the sector’s less well-established projects were going down in history for the wrong reasons.

두 OG 프로토콜의 창립자인 Aave와 Maker(현 Sky)는 스타크래프트 게임을 즐기고 "DeFi 르네상스 순간"을 즐겼지만, 해당 분야의 덜 확립된 프로젝트 중 일부는 잘못된 이유로 역사에서 사라지고 있었습니다.

Repeat DeFi hack or a new bug?

DeFi 해킹이나 새로운 버그를 반복하시겠습니까?

First up was Onyx Protocol, whose $3.8 million loss was initially thought to be a repeat of the well-known bug that drained $2.1 million from the project toward the back end of last year.

첫 번째는 Onyx Protocol로, 처음에는 380만 달러의 손실이 작년 말 프로젝트에서 210만 달러를 빼낸 잘 알려진 버그의 반복으로 생각되었습니다.

Hi @OnyxDAO, you may want to take a look pic.twitter.com/fcU6fHP4jr

@OnyxDAO님, 안녕하세요. pic.twitter.com/fcU6fHP4jr를 살펴보세요.

Read more: Compound DAO asleep at the wheel as $25M governance ‘attack’ passes

더 읽어보기: 2,500만 달러 규모의 거버넌스 '공격'이 통과되면서 복합 DAO가 운전석에 잠들어 있습니다.

Onyx is a fork of Compound Finance, which contains an infamous vulnerability in which freshly-launched, empty lending markets are briefly left open to a price manipulation attack, if not handled correctly.

Onyx는 새로 출시된 빈 대출 시장이 올바르게 처리되지 않을 경우 가격 조작 공격에 잠시 노출되는 악명 높은 취약점을 포함하는 복합 금융(Compound Finance)의 포크입니다.

Given the popularity of Compound’s v2 codebase with fast-forking DeFi devs, the bug is exploited with alarming regularity across the sector, and was initially identified as having been the cause of Onyx’s latest loss.

빠르게 포크되는 DeFi 개발자들 사이에서 컴파운드 v2 코드베이스의 인기를 고려하면, 이 버그는 해당 부문 전반에 걸쳐 놀랄 만큼 규칙적으로 악용되고 있으며 처음에는 Onyx의 최근 손실의 원인인 것으로 확인되었습니다.

However, as the team pointed out in a ‘post-mortem’ thread on X (formerly Twitter), this time the vulnerability also lay in the platform’s ‘NFT Liquidation contract.’ The attacker was able to drain the vUSD stablecoin, which was then sold off, causing it to depeg.

그러나 팀이 X(이전 Twitter)의 '사후' 스레드에서 지적한 것처럼 이번에는 플랫폼의 'NFT 청산 계약'에도 취약점이 있습니다. 공격자는 vUSD 스테이블코인을 빼낼 수 있었고, 이후 매도되어 페그가 발생했습니다.

Something’s not adding up

뭔가 합산이 안되네요

Next came ‘bitcoin restaking’ protocol Bedrock, which appeared to be overly bullish on ETH, costing it around $2 million.

다음으로 '비트코인 재스테이킹' 프로토콜인 Bedrock이 등장했는데, 이는 ETH에 대해 지나치게 낙관적인 것으로 보였으며 비용은 약 200만 달러에 달했습니다.

uniBTC by @Bedrock_DeFi was exploited today. The vulnerability allowed for you to mint uniBTC with eth! This function was likely leftover from the uniETH implementation 😅 @spreekaway pic.twitter.com/Xj69wQg2GX

오늘 @Bedrock_DeFi의 uniBTC가 악용되었습니다. 이 취약점으로 인해 uniBTC를 eth로 발행할 수 있게 되었습니다! 이 기능은 uniETH 구현에서 남겨진 것 같습니다 😅 @spreekaway pic.twitter.com/Xj69wQg2GX

Read more: ‘Cryptographic performance art’ drains contract one block after launch 

더 읽어보기: '암호화 퍼포먼스 아트' 출시 후 계약 한 블록 소모

The faulty code allowed users to mint Bedrock’s uniBTC token at a 1:1 ratio with staked ETH tokens, not taking into account the price difference between the two assets (valued at the time at approximately $65,000 vs $2,650, respectively).

잘못된 코드로 인해 사용자는 두 자산 간의 가격 차이(당시 가치는 각각 약 $65,000 대 $2,650)를 고려하지 않고 스테이킹된 ETH 토큰과 1:1 비율로 Bedrock의 uniBTC 토큰을 발행할 수 있었습니다.

The uniBTC tokens were then sold off for an alternative wrapped bitcoin token, for a return of almost 25x.

그런 다음 uniBTC 토큰은 대체 포장된 비트코인 ​​토큰으로 매각되어 거의 25배의 수익을 얻었습니다.

Crypto security auditor Dedaub claims to have identified the vulnerability in advance, stating that such a simple bug could be discovered and exploited automatically by ‘fuzzing bots.’

암호화폐 보안 감사관인 Dedaub는 이러한 간단한 버그가 '퍼징 봇'에 의해 자동으로 발견되어 악용될 수 있다고 말하면서 취약점을 사전에 식별했다고 주장합니다.

Despite warning the Bedrock team two hours before the attack, there was no response due time zone differences. However, by raising the issue separately with Pendle, a platform with $30 million of exposure to uniBTC, further losses were successfully averted.

공격 2시간 전 베드록 팀에 경고했음에도 불구하고 시차로 인해 응답이 없었습니다. 그러나 uniBTC에 3천만 달러 노출된 플랫폼인 Pendle에 별도로 문제를 제기함으로써 추가 손실을 성공적으로 방지했습니다.

The Bedrock team responded to the incident, reassuring users that all uniBTC collateral remains intact. It estimated the losses at “approximately $2 million (mostly in DEX LPs),” adding that a “comprehensive reimbursement plan is being finalized.”

Bedrock 팀은 사건에 대응하여 모든 uniBTC 담보가 그대로 유지된다는 점을 사용자에게 확신시켰습니다. 손실액은 약 200만 달러(주로 DEX LP)로 추정되며, “종합적인 보상 계획이 마무리되고 있다”고 덧붙였다.

Compromised keys?

키가 손상되었나요?

On Wednesday, real-world-asset-focused Truflation warned of “some abnormal activity,” which it attributed to a malware attack.

수요일, 실제 자산에 초점을 맞춘 Truflation은 악성 코드 공격으로 인한 "일부 비정상적인 활동"에 대해 경고했습니다.

On September 25th, 2024, the Truflation team detected some abnormal activity. An attacker launched an attack using malware. We are currently monitoring the situation and are taking measures to protect funds while we are investigating and working with law enforcement. The…

2024년 9월 25일에 Truflation 팀은 비정상적인 활동을 감지했습니다. 공격자가 악성 코드를 사용하여 공격을 시작했습니다. 현재 상황을 모니터링하고 있으며 법 집행 기관과 조사 및 협력하는 동안 자금 보호를 위한 조치를 취하고 있습니다. 그만큼…

Read more: Chelsea FC sponsor BingX tried to hide $40M hack behind ‘wallet maintenance’

더 읽어보기: Chelsea FC 스폰서인 BingX는 '지갑 유지 관리' 뒤에 4천만 달러의 해킹을 숨기려고 했습니다.

Blockchain investigator ZachXBT traced total losses of over $5 million from addresses identified as the project’s “treasury multisig and personal wallets,” providing a list of addresses via his Investigations Telegram channel.

블록체인 조사관 ZachXBT는 프로젝트의 "재무 다중서명 및 개인 지갑"으로 식별된 주소에서 500만 달러 이상의 총 손실을 추적하여 자신의 조사 텔레그램 채널을 통해 주소 목록을 제공했습니다.

While the initial disclosure was scant on details, it does mention a reward to any whitehats able to aid the investigation. This was followed up with an on-chain message to the hacker, offering a 10% ‘bounty’ for the return of the funds.

초기 공개에는 세부 정보가 부족했지만 조사에 도움을 줄 수 있는 화이트해커에 대한 보상은 언급되어 있습니다. 이어서 해커에게 자금 반환에 대해 10%의 '포상금'을 제공하는 온체인 메시지가 전달되었습니다.

Assuming funds aren’t returned before 8am (UTC) on Saturday, the bounty will be opened up to the public in return for information leading to a conviction.

토요일 오전 8시(UTC) 이전에 자금이 반환되지 않을 경우 유죄 판결로 이어지는 정보에 대한 대가로 현상금이 대중에게 공개됩니다.

Got a tip? Send us an email or ProtonMail. For more informed news, follow us on X, Instagram, Bluesky, and Google News, or subscribe to our YouTube channel.

팁이 있나요? 이메일이나 ProtonMail을 보내주세요. 더 많은 정보를 얻으려면 X, Instagram, Bluesky 및 Google News에서 우리를 팔로우하거나 YouTube 채널을 구독하세요.