최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- Aztec에서 200만 달러 규모의 새로운 해킹 사건이 발생했는데, 이는 이전에 219만 달러 규모의 해킹 사건이 발생한 지 며칠 만의 일이었다
- 최근 아즈텍 공격은 수년 전에 관리 통제가 포기되어 비상 개입 메커니즘이 없는 단종된 롤업 제품을 악용했습니다.
- 이번 공격은 최근 며칠 동안 사용이 중단된trac을 표적으로 삼은 일련의 공격 사례에 추가됩니다.
공격자들은 6월 17일, 더 이상 사용되지 않는 Aztec 결제 제품에서 약 200만 달러를 탈취해 갔습니다. 이는 프로젝트에서 사용이 중단된 Aztec Connect 브리지를 표적으로 삼은 별도의 공격으로 219만 달러가 손실된 지 불과 며칠 만에 발생한 사건입니다.
연이은 이번 사건은 사용자 자금이 보관되어 있지만 이를 복구할 수 있는 팀이 없는 버려진 스마트trac을 해커들이 공격하는 사례가 증가하는 추세에 더dent을 보여줍니다.
시대에 뒤떨어진 아즈텍 스마트trac은 어떻게 악용되었을까요?
보안 연구원 Cos는 Aztec의 비공개 롤업 브리지 계약에서 발생한 세 건의 의심스러운 거래를trac. Cos가 X에 게시한 글에 따르면, 이 거래는 1,158 ETH, 150,000 DAI, 0.47 renBTC였으며, 총액은 약 215만 달러에 달했습니다.
Cos가 문제 삼은trac은 6월 14일에 위반된 계약과는 다른 계약입니다.
보안 연구원 thisvishalsingh은X에서 Private Rollup Bridge 자금 유출 사건이 "dent 확인trac며칠 전 사용 중단된 Aztec Connect 계약에서 발생한 210만 달러 자금 유출 사건과는 별개의 사건"
Aztec Labs는 X에서 "2021년에 출시되어 더 이상 사용되지 않는 Aztec 결제 제품에 영향을 미치는 잠재적 취약점을 조사하고 있다"고 밝혔으며, 해당trac을 "2022년에 서비스가 종료된 변경 불가능한 2단계 롤업"이라고 설명했습니다
아즈텍 재단은 "해당 제품은 4년 전에 단종되었으며, 아즈텍 랩스는 해당 시스템에 대한 어떠한 통제권도 갖고 있지 않다"고 밝혔습니다.
Aztec Labs가 사후 분석 보고서에서 밝힌 바와 같이, 6월 14일 공격은 Aztec Connect의 증명 검증 시스템과 온체인 정산 코드가 동일한 거래 배치(batch)를 읽는 방식의 결함을 악용했습니다. 증명 시스템은 32개 행씩 그룹으로 검증하는 반면, 정산 코드는 해당 배치에서 "실제"로 선언된 행 수만큼만 처리했습니다
Aztec Labs에 따르면, 공격자는 단일 거래에 포함된 14개의 정교한 롤업 제출을 통해 약 909 ETH, 270,513 DAI, 168 wstETH 및 여러 Yearn 볼트 토큰을 빼돌렸으며, 이는 총 약 219만 달러에 달합니다.
6월 15일에 발생한 후속 공격에서는 남은 DeFi 브리지 포지션에 대해 동일한 기법을 사용하여 8만 8천 달러를 탈취했습니다.
Aztec Connect는 2022년에 출시되어 2023년에 사용이 중단된 개인정보 보호형 zk-rollup입니다.
2024년 4월, Aztec Labs는 1년 동안 사용자들에게 자금 인출을 촉구한 후, 모든 관리자 역할과 온체인 업그레이드 권한을 포기했습니다. 이는 자금을 보유하고 있는 다른 사용자들이 팀의 개입 없이 자금을 인출할 수 있도록 하기 위한 조치였습니다.
하지만 이는 아즈텍 팀이 취약점이 발견될 경우 수정 사항을 배포할 권한이 없다는 것을 의미하기도 했습니다.
블록체인 보안 업체 블록에이드는 자사 모니터링 플랫폼이 6월 14일 자금 유출 거래가 실행되기 약 6분 전에 공격자의 준비 활동을 감지했다고 밝혔습니다.
더 이상 사용되지 않는 프로토콜이 공격받는 이유는 무엇일까요?
아즈텍 사건dent가 아닙니다. 6월 15일, DeFi 옵션 프로토콜인 Thetanuts Finance는 몇 년 전에 다른 곳으로 이전한 기존 금고를 대상으로 한 210만 달러 규모의 공격 피해를 확인했습니다. 보안 연구업체 ExVul에 따르면, 이 공격은 금고의 상환 로직에 있는 결함을 악용한 것입니다.
Blockful.eth는 X에서 이러한 추세를 강조하며 "최근 며칠 동안 DeFi에 존재한다는 사실을 거의 기억하지 못하는 위험, 즉 수백만 달러가 묶여 있는 오래된trac이 방치되는 문제를 드러낸 두 건의 공격이 있었습니다."라고 썼습니다
탈중앙화를 명목으로 관리자 키를 포기한 프로토콜의 경우, 공격자들이 이러한 프로토콜을 노리고 있는 것으로 보아, 돌이켜보면 그 선택이 오히려 불리하게 작용한 것처럼 보일 수 있습니다.
DefiLlama에 따르면 6월 중순 현재 DeFi 전반에 걸친 익스플로잇 손실액이 이미 4,300만 달러를 넘어섰으며, 사용 중지된trac이 공격 대상에서 점점 더 큰 비중을 차지하는 것으로 나타났습니다.
암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.
자주 묻는 질문
두dent을 합쳐 아즈텍에서 총 얼마가 도난당했습니까?
Aztec Labs의 사후 분석에 따르면, 6월 14일에 발생한 첫 번째 Aztec Connect 공격으로 약 219만 달러가 유출되었고, 다음 날 발생한 후속trac으로 8만 8천 달러가 추가로 탈취되었습니다. 6월 17일에 발생한 두 번째 공격은 Private Rollup Bridge를 표적으로 삼아 약 200만 달러를 노렸습니다.
이것이 현재 아즈텍 네트워크 또는 아즈텍 토큰에 영향을 미치나요?
아니요. Aztec Labs와 Aztec Foundation 모두 문제가 된trac들이 AZTEC ERC-20 토큰이나 현재 Aztec 네트워크와 관련된 스마트trac과는 아무런 관련이 없음을 확인했습니다.
왜 그 취약점을 수정할 수 없는 건가요?
Aztec Labs는 2024년 4월에 Aztec Connecttrac에 대한 모든 관리자 역할과 업그레이드 권한을 포기하여 해당 계약을 완전히 변경할 수 없도록 만들었다고 팀의 사후 분석 보고서에서 밝혔습니다. 두 번째 공격의 대상이 된 더 이상 사용되지 않는 결제 제품 또한 Aztec Labs에 의해 변경 불가능한trac으로 설명되었습니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .
한나 콜리모어
한나는 암호화폐 분야에서 10년 가까이 블로그를 운영하고 행사를 취재해 온 작가 겸 편집자입니다. Cryptopolitan에서 뉴스 페이지에 기고하며, 탈중앙화 DeFi), 반응형 웹 자산(RWA), 암호화폐 규제, 인공지능(AI) 및 첨단 기술 산업의 최신 동향을 보도하고 분석합니다. 아카디아 대학교에서 경영학 학위를 받았습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)