bZx 1차공격 (Fulcrum)
일시 : 2월 14일
피해규모 : 1,271 ETH
과정 :
- 플래시론에서 10000 ETH 대출 (dYdX)
- 5500 ETH 컴파운드 담보 → 112wBTC
- 1300 ETH Fulcrum으로 이동. ETHBTC 5x 레버리지
- 5637 ETH를 51wBTC로 교환 (카이버네트워크) → 유니스왑 wBTC가격 3배 펌핑
- 컴파운드 112wBTC를 유니스왑에서 6871 ETH로 교환
- 남은것 - 3200 ETH(안쓴것-추정), 6871 ETH, 51wBTC (약 1200ETH)
- 10000 ETH 상환(플래시론)
- 1271 ETH 차액
해커는 71 ETH 아비트리지 수익 + 51wBTC 펌핑 차익까지 챙김
원인 (취약점)
1. 오라클
2. bZx 오류
bZx 2차 공격
일시 : 2월 18일
피해규모 : 2,379 ETH
과정 :
- 플래시론에서 7,500 ETH 대출 (bZx)
- 3,517 ETH 민트 → $940,000 sUSD (신테틱스)
- 900 ETH 카이버, 유니스왑에서 sUSD $2.30까지 펌핑
- $940,000 sUSD 사용해서 6,796 ETH 대출
- 잔고 - 3,087 ETH(미사용-추정) + 6,796 ETH = 9,883 ETH
- 플래시론 상환
- 2,379 ETH 차액
bZx 대응
1.두번의 공격 모두, 공격이 시행되고 Fulcrum의 가동을 멈추고 스마트 컨트랙트를 고침
2.보험 펀드가 있어 일반 유저 피해금액은 없음. 하지만 이후 예치 금액이 확 빠졌지만, 이자율이 상승하면서 다시 회복.
3.화요일, 3단계 오라클 시스템을 발표 = 체인링크 + 밴드 프로토콜 + 유니스왑https://kr.coinness.com/news/584838
플래시 론(Flash Loan)
해킹에 사용된 시스템. 오직 스마트컨트랙트로만 존재할 수 있는 대출(Loan)이다. 원하는 만큼 암호화폐를(무제한!) 빌려준다. 이더리움 트랜잭션이 컨펌되기 전까지 대출금이 돌아오지 않으면, 스마트컨트랙트상 모든 트랜잭션이 취소 되거 "없던 대출"이 된다. (특이하게 빌려주는 사람 입장에서 Zero-Risk Loan)
우리가 생각하는 대출의 개념이 아니라, 스마트 컨트랙트 상으로만 존재하는 Loan의 형태. 따라서 중앙화 플랫폼에선 사용이 불가능하고, 컨트랙트 상에서 자산을 주고받을 수 있는 디파이에서 활용이 가능합니다. 블록이 생성되기 전 빌린 암호화폐 만큼 갚지 못하면, 플래시 론 자체가 취소된다. 따라서 천문학적인 금액을 빌리는 것도 가능하다.
dYdX와 Aave가 플래시론을 지원한다. (해킹당시) dYdX는 fee가 없고, Aave는 0.09%.
신테틱스
https://www.decenter.kr/NewsView/1VS5BZS9TU
Aave
+현재 플래시론은 차익거래/해킹 공격 외에도 Black Swan으로 인해 발생한 가격 급변 사태를 방어하는데도 활용된다.
참고 자료
https://www.youtube.com/watch?v=B0HBp4-ulck
https://www.meter.io/bzx-attacks/
https://dstreet.io/news/view-detail?id=N20200304180313039835
https://news.joins.com/article/23712277
'디파이(DeFi) & 암호화폐 금융(CeFi)' 카테고리의 다른 글
| 디파이달러 DUSD Saving 서비스 출시 (feat. 스테이블코인 파밍!) (1) | 2020.12.14 |
|---|---|
| 디파이달러(DUSD), 체인링크 가격 피드 사용 (0) | 2020.12.09 |
| 그래프(GRT) 프로토콜 토큰세일 공지발표! + GRT 간단설명 (0) | 2020.12.07 |
| 디파이 달러(DeFi Dollar) 소개 & 수익 구조도 (0) | 2020.09.18 |
| 트리니토(Trinito), TTC와 트론 스테이킹을 지원 (0) | 2020.08.16 |
