Makina Finance는 Ethereum 기반 탈중앙화 금융(DeFi) 프로토콜로, 공격자가 DUSD/USDC 스테이블스왑 풀의 취약한 오라클 메커니즘을 악용하면서 약 420만 달러를 잃었다. 블록체인 보안 업체 CertiK은 도난 자금의 대부분이 한 MEV 빌더 주소로 이어졌다고 추적했다.
무슨 일이 있었나: 스테이블스왑 풀 고갈
CertiK의 분석에 따르면, 공격자는 2억 8천만 USDC 규모의 플래시 론을 이용해 익스플로잇을 실행했다.
이 중 약 1억 7천만 USDC는 DUSD/USDC 풀이 가격 산정에 의존하던 MachineShareOracle을 조작하는 데 사용됐다.
남은 1억 1천만 USDC는 약 500만 달러 규모의 풀과 거래하는 데 사용되어, 풀을 거의 완전히 고갈시켰다.
보안 연구원 n0b0dy는 루트 원인이 누구나 트랜잭션 도중 프로토콜의 가격 기준점을 새로 고칠 수 있게 하는 "updateTotalAum()"이라는 무허가(permissionless) 함수라고 지적했다.
해당 오라클에는 타임 딜레이, 거래량 가중 평균 가격(VWAP), 접근 제어 등이 없었기 때문에, 공격자가 단일 트랜잭션 안에서 조작된 풀 잔액을 회계 시스템에 반영하도록 만들 수 있었다.
TenArmor 보안 시스템은 이 공격을 탐지했고, 약 420만 달러 규모의 손실을 확인했다.
또 읽어보기: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
왜 중요한가: 오라클 설계 결함
이번 익스플로잇은 적절한 안전장치 없이 현물 가격 기반 오라클에 의존하는 DeFi 프로토콜에서 반복적으로 나타나는 취약점을 드러냈다.
지분(price share) 가격이 현재 풀 잔액을 기준으로 즉시 업데이트될 수 있을 때, 플래시 론으로 만들어진 일시적 불균형이 가격 산정 로직에서 악용 가능한 ‘진실’로 굳어져 버린다.
해당 오라클을 기준으로 DUSD를 거래하던 모든 풀은 사실상 공격자를 위한 지급 메커니즘이 되어버렸다.
다음 글: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation