Makina Finance는 Ethereum 기반 디파이(DeFi) 프로토콜로, 취약한 오라클 메커니즘이 악용되면서 DUSD/USDC 스테이블스왑 풀에서 약 420만 달러를 탈취당했다. 블록체인 보안 업체 CertiK은 도난 자금의 상당 부분이 한 MEV 빌더 주소로 이동한 것을 추적했다.
무슨 일이 있었나: 스테이블스왑 풀이 고갈됨
CertiK의 분석에 따르면, 공격자는 2억8천만 USDC 플래시 론을 사용해 익스플로잇을 실행했다.
이 중 약 1억7천만 USDC는 DUSD/USDC 풀이 가격 산정을 위해 의존하던 MachineShareOracle을 조작하는 데 사용됐다.
남은 1억1천만 USDC는 약 500만 달러 규모의 풀과 거래되며, 풀을 거의 완전히 고갈시켰다.
보안 연구원 n0b0dy는 공격의 근본 원인이 누구나 트랜잭션 도중 프로토콜의 가격 기준을 갱신할 수 있게 하는 "updateTotalAum()"이라는 퍼미션리스 함수라고 지적했다.
해당 오라클에는 시간 지연, 거래량 가중 평균 가격, 접근 제어가 모두 부재했으며, 이로 인해 공격자는 단일 트랜잭션 내에서 조작된 풀 잔액을 회계 시스템에 반영하도록 만들 수 있었다.
TenArmor 보안 시스템은 공격을 탐지했으며, 약 420만 달러의 손실이 발생한 것을 확인했다.
Also Read: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
왜 중요한가: 오라클 설계 결함
이번 익스플로잇은 적절한 안전장치 없이 현물 가격 기반 오라클에 의존하는 디파이 프로토콜의 지속적인 취약점을 드러낸다.
지분 가격이 현재 풀 잔액에서 즉시 갱신될 수 있을 때, 플래시 론이 만들어내는 일시적인 불균형이 가격 계산에 이용되는 ‘진실’로 악용될 수 있다.
해당 오라클을 사용해 DUSD를 거래하던 모든 풀은 사실상 공격자에게 수익을 지급하는 메커니즘이 되어버렸다.
Read Next: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation