Bitcoin기반 DeFi 프로토콜인 Bedrock DeFi에서 170만 달러 상당의 유니BTC가 도난당했습니다. 이 도난 사건은 Onyx Finance에 대한 공격이 발생한 지 하루 만에 일어났습니다.
베드락 DeFi 에서 170만 달러 상당의 유니BTC가 해킹당했습니다. 리스테이트 풀이 스마트 계약 취약점을 이용해 고갈된 것입니다 trac 베드락은 공격 원인을 조사한 후 문제가 된 스마트 계약을 차단하여 matic 공격 trac 방지했습니다 . 해커는 이 취약점을 이용해 유니BTC를 무제한으로 발행할 수 있었으며, 이로 인해 관련 풀과 거래 쌍이 모두 위험에 노출될 수 있었습니다.
해당 취약점은 데다웁 분석팀에 의해 처음 발견되었으며, 그들은 즉시 베드락 개발자들에게 연락을 시도했습니다. 그러나 3시간도 채 지나지 않아 다른 공격자가 해당 정보를 악용하여 과도한 유니BTC를 생성했습니다.
베드락 DeFi (Bedrock DeFi)는 이번 공격이 비트코인의 또 다른 토큰화된 형태인 유니BTC(uniBTC)에만 영향을 미쳤다고 발표했습니다. 기본 준비금은 안전하며, 프로토콜은 문제를 해결했습니다. 이 플랫폼은 Bitcoin 과 Ethereum포함한 다양한 네트워크에서 스테이킹된 2억 4,300만 달러 이상의 자산을 보유하고 있습니다. 베드락 DeFi 유휴 자산을 통해 수동적 수익을 창출할 수 있는 멀티체인 유동성 리스태킹 서비스를 제공하는 것을 목표로 했습니다.
토큰화된 uniBTC 자산은 Ethereum 체인 상의 ERC-20trac입니다. 래핑된 BTC는 3,552개의 주소에 보관되어 있으며 총 시가총액은 7,540만 달러입니다. 이번 공격 직후 일부 탈중앙화 거래쌍에서 이례적인 변동이 나타났습니다.
유니BTC는 총 8개의 네트워크에서 사용 가능하며, 펜들(Pendle)과 같은 일부 프로토콜은 콘(Corn) 프로토콜과 연계하여 최대 3천만 달러 규모의 유니BTC 관련 위험에 노출되어 있습니다. 이와 유사한 취약한 유니BTC 발행trac은 Ethereum, Binance, 아비트럼, 옵티미즘 메인넷, 맨틀, 모드, BOB, 제타체인 등에서도 위협을 가했습니다. 데다웁(Dedaub) 연구진은 펜들에 이 사실을 경고했고, 펜들은 유출 유동성으로 악용될 뻔한 대부분의 자산 가치 하락을 막았습니다.
유니비트코인(uniBTC) 해킹 사태는 탈중앙화 거래소에도 영향을 미쳤습니다. 유니스왑 V3 풀 중 하나에서는 가격이 17,889.15달러 , 다른 거래쌍은 62,311.48달러로 소폭 하락했습니다. 옵티미즘(Optimism) 버전의 탈중앙화 거래쌍은 90% 18,000달러 아래로 떨어졌습니다. 심지어 5,741.48달러라는 신저가를 기록하기도 했습니다. 유동성이 낮은 거래쌍들 사이에서 매도 압력이 지배적이어서 차익거래 시도가 어려운 상황입니다.
실제 스왑 금리 폭락은 프로토콜에 더 큰 타격을 주었을 뿐만 아니라 평판에도 손상을 입혔습니다. 해킹 발생 후 몇 시간 동안 유니비트코인은 대부분의 거래 쌍을 차지하는 WBTC와의 가격 균형을 회복하지 못했습니다.
다른 공격 사례와 마찬가지로 소셜 미디어의 가짜 댓글은 계정 취소 웹사이트를 이용하라고 유도합니다. 지갑 사용자는 이러한 악성 링크로 인해 남은 자산이 모두 인출될 위험에 추가로 노출됩니다.
해커가 Bedrock의 uniBTCtrac호출을 악용했습니다
이번 취약점은 실제 BTC와 WBTC로 뒷받침되는 토큰화된 래핑 유니BTC에 영향을 미쳤습니다. 데다웁과 같은 연구원들은 베드락(Bedrock)을 악용할 수 있는 잠재적 기능을 발견했다고 주장했지만, 해킹은 경고 후 몇 시간 만에 발생했습니다.
데다웁은 악의적인 공격자가 무한정 DeFi 외에도 펜들(Pendle)과 콘(Corn)에 영향을 미칠 가능성이 있습니다 . 공격자는 소량의 이더리움(ETH)을 예치하고 다른 환율로 유니BTC를 발행할 수 있습니다. 새로 발행된 자산은 완전히 양도 가능하며 유니스왑이나 다른 탈중앙화 프로토콜에서 더 많은 WBTC로 재판매될 수 있습니다.
또 다른 연구원인 차오판 쇼는 유니BTCtrac이 함수 호출 취약점을 가지고 있다고 지적했습니다. 위험에 처한 금액은 분석이 이루어지기 불과 몇 시간 전에 정확히 소진되었습니다.
@Bedrock_ DeFi 에서 최대 170만 달러 상당의 자금을 훔칠 수 있는 완벽하게 작동하는 익스플로잇을 생성할 수 있습니다 .
CPU 코어 하나와 0.5초면 충분합니다. pic.twitter.com/SMMD1MSbvT
— Chaofan Shou(@shoucccc) 2024년 9월 27일
스마트 계약에 대한 요구는 trac DeFi 에 예치된 총 가치가 급증한 이후 가장 큰 위험 중 하나로 남아 있습니다 DeFi 에 대한 공격은 2억 4,300만 달러 라는 사상 최고치에 근접했을 때 발생했습니다 .
프로토콜을 살린 것은 스테이킹의 비수탁형 특성이었습니다. 이 특성 덕분에 해커는 래핑된 자산을 훔쳐 탈중앙화 거래소(DEX) 유동성 풀에 영향을 줄 수는 있었지만, 기초 자산인 비트코인의 준비금은 건드릴 수 없었습니다. 래핑된 비트코인은 콜드 월렛을 사용하는 경우가 많아 원래 자산으로 쉽게 되돌릴 수 없습니다.
Bedrock은 Babylon Labs와 Eigen Layer를 사용하여 보상 구조를 구현합니다. 이 프로토콜들은 자산을 직접적인 위험에 노출시키지 않고도 BTC와 ETH의 가치를 안전하게 활용할 수 있도록 해줍니다. 이렇게 생성된 uniBTC는 Pendle과 Velodrome에서도 사용하여 안정적인 수익을 창출할 수 있습니다.
지난 몇 주간 발생한 공격의 대부분은 Ethereum기반 DeFi대상으로 했습니다. 이번 공격은 Bitcoin파생 자산을 대상으로 했지만, 해당 자산 역시 대부분의 가치 이전은 Ethereum 블록체인을 사용하고 있습니다.
Hristina Vasileva의 Cryptopolitan 보고
