대규모 익스플로잇으로 대부분의 자금이 유출된 폴터 파이낸스

팬텀 블록체인의 탈중앙화 대출 플랫폼인 폴터 파이낸스는 다음과 같은 이유로 심각한 영향을 받았습니다.플래시 대출 익스플로잇 11월 18일에 7백만 달러 이상의 손실이 발생했습니다.

블록체인 분석가 닉 프랭클린은 이번 공격이 가격의 전형적인 사례라고 확인했습니다.처리 플랫폼의 토큰 가격 책정 메커니즘을 사용합니다.

공격자 먼저자금 출처를 감추는 코인 믹서인 토네이도 캐시를 통해 자금이 유입되었습니다. 를 클릭한 후 에셋을 팬텀 네트워크에 연결합니다.

팬텀을 사용하면공격자는 유동성 풀에서 거의 모든 BOO 토큰을 차용하여 스푸키스왑 거버넌스 토큰(BOO)의 가격을 조작했습니다, 토큰 가격이 급등할 수 있습니다.

공격자는 가격이 부풀려진 상태에서 단 하나의 BOO 토큰을 입금하고 910만 달러의 유동성 풀을 포장된 팬텀 토큰으로 빼내 780만 달러의 이익을 얻었습니다.

이어서 매직 인터넷 머니(MIM), sFTMX, 악셀라 USDC, 비트코인 등 다른 토큰을 노린 추가 공격이 이어졌습니다.

총 손실액은 1,200만 달러를 초과했을 것으로 추정됩니다.

프랭클린은 공격자가 어떻게 돈을 갚았는지 추측하지는 않았지만플래시 대출 를 통해 다른 풀에서 더 낮은 가격에 BOO 토큰을 추가로 구매했을 가능성이 있습니다.

이번 사건은 유동성이 낮은 토큰에 의존하는 플랫폼의 위험성을 극명하게 보여주는 사례로, 특히 디파이 생태계에서 가격 조작에 취약한 토큰에 대한 위험성을 일깨워줍니다.

폴터 파이낸스의 행동

폴터 파이낸스는 침해 사실을 확인한 후 신속하게 플랫폼을 일시 중지하여 추가 피해를 최소화하고 주요 브리지 운영자에게 경고했습니다.

익명의 설립자, <어느 유령>이 경찰에 신고했습니다.싱가포르 그리고해결책을 협상하기 위해 공격자와 직접 소통합니다. .

플랫폼에 새로 배포된 스마트 컨트랙트의 취약점에서 비롯된 이 익스플로잇으로 인해 사용자 자산이 유출되었으며, 손실액은 1,610만 싱가포르 달러(약 1,200만 달러)를 넘어선 것으로 보고되었습니다.

그러나 일부 웹3.0 보안 업체는 실제 도난당한 금액이 700만 달러에 가깝다고 추정합니다.

플랫폼의 손실 외에도 Whichghost는 개인적으로도 223,219달러의 손실을 보고했으며, Discord에 사후 링크를 첨부했습니다.

에 게시된 성명서에서X(이전의 트위터) 폴터 파이낸스는 도난당한 자금이 바이낸스와 연결된 지갑으로 추적되었다고 밝혔습니다.

그리고팀도 공격자에게 온체인 메시지를 보냈습니다, 법적 조치 없이 자금 반환을 협상하겠다고 제안합니다.

이러한 조치는 도난당한 자산을 회수하는 동시에 법적 소송을 최소화하려는 플랫폼의 노력을 강조합니다.

업계 전문가들의 의견

웹3.0 보안 전문가들은 이 익스플로잇이가격 조작 공격 플랫폼에서 토큰 값을 결정하는 데 사용하는 외부 데이터 피드인 오라클을 포함합니다.

스마트 컨트랙트 감사 기관인 퀼오딧(QuillAudits)이 공유한 조사 결과에 따르면, 이 취약점은 폴터 파이낸스가 스푸키스왑 BOO 토큰의 가치를 계산하는 방식과 관련이 있다고 합니다.

퀼오딧츠는 이렇게 말했습니다:

"대출 풀의 스푸키스왑 BOO 토큰 가격은 스푸키스왑 v3 풀과 v2 쌍의 현물 가격에 의해 결정되었으며, 풀의 토큰 잔액 비율에 따라 계산되었습니다."

BOO의 가격을 인위적으로 부풀려서해커 는 최소한의 금액(단 하나의 BOO 토큰)을 입금하고 다른 자산으로 훨씬 더 큰 금액을 인출하여 플랫폼을 효과적으로 고갈시켰습니다.

사이버스 에이아이의 수석 블록체인 과학자 하칸 우날은 다음과 같이 언급했습니다:

"이 사례는 전형적인 오라클 조작 익스플로잇의 예시입니다. 공격자는 플래시 대출을 사용하여 BOO 토큰 가격을 인위적으로 부풀리기 위해 BOO 토큰 가격을 조작합니다."

이에 폴터 파이낸스는 보안 얼라이언스 정보 공유 및 분석 센터(SEAL-ISAC)와 협력하여 공격자를 추적하고 있습니다.도난당한 자금을 회수할 수 있습니다.