분산형 미국 달러 스테이블코인 프로토콜 Raft는 여러 보안 감사에도 불구하고 회사가 여전히 보안 악용으로 인해 지난주 670만 달러의 손실을 입었다고 주장합니다.
프로젝트의 11월 13일 사후 보고서에 따르면 며칠 전 해커가 빌린 분산 금융 프로토콜 Aave에 6,000개의 코인베이스 래핑된 Ether(cbETH)를 스테이킹하고 해당 금액을 Raft로 전송한 후 스마트 계약 결함을 사용하여 Raft의 스테이블 코인인 670만 R 토큰을 발행했습니다.
승인되지 않은 발행 자금은 분산형 거래소인 Balancer 및 Uniswap의 유동성 풀을 통해 플랫폼에서 교환되어 360만 달러의 수익을 얻었습니다. R 스테이블코인은 공격 후 페그되었습니다.
보고서에 따르면:
“주요 근본 원인은 공유 토큰을 발행할 때 정밀 계산 문제로 인해 착취자가 추가 공유 토큰을 얻을 수 있다는 것이었습니다. 공격자는 증폭된 지수 가치를 활용하여 주식 가치를 높였습니다.”
사건 당시 악용된 스마트 계약은 블록체인 보안 회사인 Trail of Bits와 Hats Finance의 감사를 받았습니다. Raft는 “불행하게도 이번 감사에서는 사고를 촉발한 취약점이 발견되지 않았습니다.”라고 적었습니다.
해당 프로젝트는 지난 11월 10일 사건 이후 경찰에 신고했으며 중앙화 거래소와 협력해 도난 자금의 흐름을 추적하고 있다고 밝혔습니다. Raft의 모든 스마트 계약은 현재 중단되었지만 R을 발행한 사용자는 “자신의 위치를 상환하고 담보를 회수할 수 있는 능력을 유지합니다.”
분산형 스테이블코인은 사용자의 암호화폐 예금을 담보로 발행됩니다. 2022년 12월, 해커가 스마트 계약 결함을 이용하여 적절한 담보 없이 1,600만 HAY를 발행한 후 분산형 스테이블 코인 HAY가 미국 달러 대비 페그되었습니다. HAY 스테이블코인은 부분적으로 위험 관리의 일환으로 악용 당시 152%의 담보 비율을 요구하는 프로토콜로 인해 다시 페깅되었습니다.
우리는 잠재적인 보안 취약점을 알고 있습니다.
현재 조사 중이며 최대한 빨리 업데이트를 제공하겠습니다.
— 뗏목 (@raft_fi) 2023년 11월 10일