한 공격자가 3년 전에 종료된 프라이버시 프로토콜의 검증 취약점을 악용해 6월 14일 Aztec Connect에서 210만 달러 이상을 탈취했다.
핵심 요점:
- 공격자는 프로토콜이 종료된 지 3년이 지난 6월 14일 Aztec Connect에서 약 219만 달러를 빼냈다.
- 이 익스플로잇은 컨트랙트의 증명 검증 과정의 빈틈을 노려, 실제 예치가 뒷받침하지 않는 잔액에서 출금을 가능하게 했다.
- Aztec Labs는 관리자 키를 보유하지 않으며, 변경 불가능한 컨트랙트를 일시 중지하거나 업그레이드할 수 없다고 밝혔다.
CertiK, Aztec Connect 자금 유출 포착
CertiK는 공격 발생 후 몇 시간 안에 수상한 활동을 포착했다. 이 회사는 이더리움 상의 RollupProcessorV3 컨트랙트에서 자금이 빠져나가는 상황을 flagged했는데, 이는 사용이 중단된 브리지의 핵심 구성 요소다. 보안 업체 BlockSec도 곧 같은 침해 사실을 확인하고, 처음에는 코드에서 접근 제어가 누락됐을 가능성을 의심했다.
취약점은 컨트랙트가 증명 데이터를 검사하는 방식에 존재했다. 한 경로는 전체 트랜잭션 세트를 검증하는 반면, 정산 로직은 같은 데이터를 다르게 read했다. 이 불일치는 공격자가 실제로는 아무 가치도 넣지 않았는데도 값을 인식하게 만들어, 어떤 예치금도 뒷받침하지 않는 잔액을 만들어낼 수 있게 했다.
공격자는 이 수법을 한 번의 실행으로 7개 자산에 걸쳐 반복했다. 탈취 자산에는 909개 Ether (ETH), 약 27만 개 Dai (DAI), 167개의 래핑된 스테이킹 이더와 소수의 이자 수익형 토큰이 포함됐다. 온체인 기록에 따르면 이 자금은 믹싱 서비스를 통해 사전에 자금을 받은 신규 지갑으로 이동해, 공격이 치밀하게 준비됐음을 시사한다.
Also Read: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs는 관리자 키를 보유하지 않아 개입 불가
Aztec Foundation은 경보 직후 이번 사고를 확인하고, 이번 침해가 AZTEC (AZTEC) 토큰과 현재 가동 중인 Aztec 네트워크에는 영향을 미치지 않는다고 stressed했다. 토큰 가격은 하루 동안 1센트 안팎에서 거의 움직이지 않았고, 2022년에 첫 출시된 후 2023년 3월부터 중단 상태인 브리지만 피해를 입었다.
Aztec Labs는 개입할 수 없다고 밝혔다. 사용이 중단된 컨트랙트는 관리자 키를 전혀 보유하지 않아, 누구도 이를 일시 중지하거나 업그레이드할 수 없다. 개발자 Param은 브리지가 종료되면서 코드가 완전히 변경 불가능한 상태가 됐다고 explained했다. 조사자들은 여전히 네트워크 전반에서 도난 자금의 이동 경로를 추적 중이다.
방치된 DeFi 컨트랙트의 지속적 위험
이번 사건은 팀이 프로젝트를 떠난 뒤에도, 종료된 프로토콜에 실제 자금이 장기간 남아 있다는 업계의 오래된 문제를 다시 부각시켰다. 변경 불가능한 코드는 취약점이 드러난 뒤에도 패치가 불가능해, 이른바 좀비 컨트랙트로 불리는 방치된 시스템을 수년 동안 공격에 노출시킨다.
이번 유출은 온체인 보안에 있어 힘든 시기의 정점을 보여준다. 이달에만 최소 열두 건의 사고에서 약 4,400만 달러가 피해를 입었고, 최근 몇 주 동안 여러 소규모 프로토콜이 타격을 받았다. 이는 4월의 참혹한 손실 뒤를 잇는 수치로, 당시에는 단 두 건의 공격만으로 월간 피해액이 6억 2,500만 달러를 넘어서며 사고 건수도 사상 최고치를 기록했다.
Read Next: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test