BNB 체인 상의 DxSale 레거시 유동성 락커를 대상으로 한 익스플로잇으로 약 1,400개 유동성 풀에서 730만 달러가 유출됐다. 분석가들은 해당 계약의 백도어 취약점이 이번 공격을 가능하게 했다고 지적한다.
백도어 취약점
공격을 당한 시스템은 DxSale 유동성 락커의 구버전으로, 이 도구는 개발자가 자금을 빼내지 못하도록 유동성 공급자 토큰을 잠그는 역할을 한다. 조사관들은 이번 침해를 백도어 약점(일반적인 보안 검사를 우회하고 자산을 빼돌릴 수 있는 숨겨진 접근 지점)으로 규정했다.
이 사건을 모니터링한 블록체인 보안 업체들은 익스플로잇이 여러 풀을 동시에 공격했다고 밝혔다. 공격자는 계약이 중단되거나 패치되기 전에 신속하게 각 풀에서 토큰을 빼돌렸다.
유동성 풀에 미친 영향
영향을 받은 1,400개 풀은 DxSale의 락커를 통해 유동성을 확보한 다양한 토큰 프로젝트를 대표한다. 이들 프로젝트 중 상당수는 손실이 전액 손실에 가깝다. 도난당한 자금은 탈중앙화 거래소에서 거래를 뒷받침하던 잠긴 유동성이다.
해당 풀의 사용자는 이제 가치가 없는 포지션을 보유하게 됐다. 일부 프로젝트는 이미 잠긴 토큰이 사라졌고 회복 가능성이 낮다는 경고 커뮤니티 공지를 발표했다.
DxSale은 익스플로잇 이후 공식 업데이트를 발표하지 않았다. 회사 팀은 사고 보고서와 취약점 수정 작업을 진행 중인 것으로 추정된다. 그러나 현재로서는 보상이나 시정 조치에 대한 일정은 없다.
이번 익스플로잇은 DeFi 생태계가 발전하면서 구형 스마트 계약이 시한폭탄이 될 수 있음을 상기시킨다. 감사자와 개발자들은 다음 공격자가 문을 찾기 전에 레거시 락커를 사용하는 프로젝트가 업데이트된 버전으로 마이그레이션할 것을 촉구하고 있다.
