공격자는 3년 전에 종료된 프라이버시 프로토콜의 검증 취약점을 악용해, 6월 14일 Aztec Connect에서 210만 달러 이상을 탈취했다.
핵심 요점:
- 프로토콜 종료 3년 후인 6월 14일, 공격자는 Aztec Connect에서 약 219만 달러를 빼냈다.
- 공격은 컨트랙트의 증명 검증 과정의 빈틈을 악용해, 실제 예치금이 뒷받침하지 않는 잔고를 인출할 수 있게 했다.
- Aztec Labs는 관리자 키를 보유하지 않으며, 해당 불변 컨트랙트를 중지하거나 업그레이드할 수 없다고 밝혔다.
CertiK, Aztec Connect 자금 유출 포착
CertiK는 공격 발생 후 몇 시간 안에 의심스러운 활동을 포착했다. 이들은 이더리움 상에서 사용이 중단된 브리지의 핵심 구성요소인 RollupProcessorV3 컨트랙트에서 대량 자금 유출이 발생했다고 알렸다. 보안 업체 BlockSec 역시 곧바로 동일한 침해 사실을 확인했고, 처음에는 코드 상의 접근 제어 미비를 의심했다.
취약점은 컨트랙트가 증명 데이터를 검증하는 방식에 있었다. 한 경로는 전체 트랜잭션 세트를 검증하는 반면, 정산 로직은 동일한 데이터를 다르게 읽었다. 이 불일치로 인해 공격자는 실제 예치 없이도 가짜로 가치를 인정받을 수 있었고, 어떤 예치금도 뒷받침하지 않는 잔고를 만들어 냈다.
공격자는 이 기법을 한 번에 7개 자산에 걸쳐 실행했다. 탈취 자산에는 909개의 이더 (ETH), 약 27만 개의 Dai (DAI), 167개의 wrapped staked Ether와 일부 수익형 토큰이 포함됐다. 온체인 기록에 따르면, 자금은 믹싱 서비스를 통해 사전에 자금이 공급된 신규 지갑으로 흘러들어갔으며, 이는 공격이 상당 기간 준비됐음을 시사한다.
관련 기사: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs, 관리자 키 전혀 보유하지 않아
Aztec Foundation은 경보가 울린 지 오래지 않아 사건을 확인했으며, 이번 침해가 AZTEC (AZTEC) 토큰과 현재 가동 중인 Aztec 네트워크에는 영향을 주지 않는다고 강조했다. 토큰 가격은 하루 종일 약 1센트 부근에서 거의 변동이 없었고, 2022년에 처음 출시된 뒤 2023년 3월부터 중단된 브리지는 계속 휴면 상태였다.
Aztec Labs는 개입이 불가능하다고 밝혔다. 사용이 중단된 컨트랙트에는 어떠한 관리자 키도 존재하지 않기 때문에, 누구도 이를 일시 중지하거나 업그레이드할 수 없다. 개발자 Param은 브리지가 종료되면서 코드가 완전히 불변 상태가 되었다고 설명했다. 현재 조사자들은 도난당한 자금의 이동 경로를 네트워크 전반에 걸쳐 추적하고 있다.
방치된 디파이 컨트랙트는 여전히 위험
이번 사건은 업계가 반복해서 마주하고 있는 문제를 다시 한 번 부각시킨다. 팀이 프로젝트를 떠난 뒤에도, 종료된 프로토콜 안에는 실제 자금이 장기간 남아 있을 수 있다. 한 번 취약점이 드러나면 불변 코드는 패치할 수 없기 때문에, 이른바 좀비 컨트랙트로 불리는 이러한 방치된 시스템은 수년 동안 공격에 노출된 상태로 남는다.
이번 유출은 온체인 보안에 있어 힘든 시기를 마무리하는 사건이기도 하다. 이달에만 최소 12건 이상의 사건을 통해 약 4,400만 달러가 유출됐고, 최근 몇 주 사이에는 규모가 작은 여러 프로토콜이 연달아 피해를 입었다. 이는 4월의 참담한 기록을 잇는 흐름으로, 당시에는 단 두 건의 공격만으로 월간 손실이 6억 2,500만 달러를 넘어서며 사건 건수 역시 최고치를 기록했다.
다음 읽을거리: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test