핵심 요약:
- 공격자가 DxSale의 BNB 체인 레거시 유동성 락커 계약에서 730만 달러를 탈취
- 이번 익스플로잇은 숨은 백도어와 80건 이상의 트랜잭션에 걸친 소유권 이전과 연관됨
- DeFi 프로토콜은 5월에 약 5,200만 달러의 익스플로잇 피해를 입었으며, 4월에는 6억 3,400만 달러의 손실이 발생함
뒤로
DxSale, BNB 체인 숨은 백도어 악용으로 730만 달러 탈취 피해
공격자가 DxSale의 BNB 체인 레거시 유동성 락커 계약에서 730만 달러를 탈취했다. 이번 사건으로 약 1,400명의 유동성 공급자가 피해를 입었으며, 이들의 자금은 2021년 토큰 출시 붐 당시 플랫폼 사용량이 정점이었던 때부터 잠겨 있던 상태였다.
블록체인 보안 업체 PeckShield는 "이번 익스플로잇은 배포자 계약에 숨겨진 백도어를 악용해 잠긴 자금을 인출 가능한 잔액으로 취급할 수 있게 한 것"이라고 설명했다.
PeckShield에 따르면, 공격자가 통제한 주소 0xC457은 약 2,958 BNB(약 187만 달러)를 두 개의 주요 지갑으로 이동시킨 뒤, 자금을 여러 바이낸스 입금 주소로 분산 전송했다. 블록체인 분석가 Tahax는 9개월에 걸쳐 80건 이상의 트랜잭션에서 소유권 변경을 추적했으며, 이는 익스플로잇이 사전에 오랜 기간 준비되었음을 시사한다. 익스플로이터 지갑은 초기에 암호화폐 거래소 Bybit을 통해 자금을 조달받았다.
이번 사건은 DeFi 보안 침해 사태의 연장선상에 있다. DefiLlama 데이터에 따르면, 5월에만 프로토콜들이 약 5,200만 달러의 손실을 입었으며, 4월에는 6억 3,400만 달러의 손실이 발생해 2025년 2월 이후 월간 최고치를 기록했다.
웹3 보안 업체 Coinsult는 이번 익스플로잇이 특권을 가진 "setFee" 기능과 소급 잠금 설정이 결합되어, 잠긴 예치금을 효과적으로 인출 가능한 잔액으로 전환한 것과 관련이 있다고 분석했다. 커뮤니티 리서치 담당자들은 내부자 연루 가능성을 제기하며, 2025년 8월 텔레그램 대화에서 개인들이 DxSale의 오래된 유동성 풀을 해제할 수 있는 내부 접근 권한을 주장했다는 점을 지적했다. DxSale 팀은 현재까지 어떤 소셜 채널을 통해서도 공식 성명을 발표하지 않았다.
이번 공격은 Stake DAO에서 공격자가 Arbitrum에서 5.4조 개 이상의 vsdCRV 토큰을 발행한 별도의 익스플로잇 사건과, Wasabi Protocol에서 손상된 관리 키로 인해 이더리움, 베이스, 베라체인 및 블라스트 전반에 걸친 계약 업그레이드가 가능해져 500만 달러의 손실이 발생한 사건에 이어 발생했다. OpenZeppelin 공동 창립자 Manuel Aráoz는 최근 AI 기반 취약점 발견으로 공격 실행이 더욱 쉬워지고 있다고 경고하며 "모든 DeFi가 안전하지 않다"고 말했다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
