블록체인 보안 회사가 발표한 사후 조사에 따르면 기존 Aztec Connect 스마트 계약이 약 219만 달러에 악용되었습니다. 슬로우미스트.
이 사건은 프로토콜이 발전한다고 해서 더 이상 사용되지 않는 DeFi 인프라가 단순히 사라지는 것이 아니라는 점을 상기시키는 유용한 신호입니다. 계약이 활성 상태이고 변경 불가능하며 자금이 지원되는 경우 주요 제품이 더 이상 활성화되지 않더라도 여전히 대상이 될 수 있습니다.
TL;DR
- SlowMist는 더 이상 사용되지 않는 Aztec Connect 계약이 약 219만 달러에 악용되었다고 말합니다.
- 영향을 받은 자산에는 ETH, DAI 및 wstETH가 포함된 것으로 알려졌습니다.
- 이 문제는 트랜잭션 수 및 디코딩된 슬롯과 관련된 취약점과 관련이 있습니다.
- 이 사례는 DeFi에서 “좀비” 스마트 계약의 지속적인 위험을 강조합니다.
SlowMist 세부정보 Aztec Connect 익스플로잇
SlowMist의 분석에 따르면 이 익스플로잇은 Aztec Connect에 연결된 레거시 RollupProcessorV3 계약에 영향을 미쳤습니다. 프로토콜은 이미 더 이상 사용되지 않지만 스마트 계약은 온체인으로 유지되어 보다 적극적으로 관리되는 시스템처럼 일시 중지될 수 없습니다.
SlowMist는 공격자가 트랜잭션 수와 디코더의 디코딩된 슬롯 간의 관계와 관련된 경계 간격 취약점을 악용했다고 밝혔습니다. 간단히 말해서, 공격자는 계약이 특정 암호화된 거래 데이터를 처리하는 방식을 활용하여 자산 유출 경로를 만들 수 있었습니다.
보고된 손실은 ETH, DAI 및 wstETH 전체에서 약 219만 달러에 달했습니다.
DeFi 익스플로잇 기준으로 볼 때 그 숫자는 크지 않지만, 헤드라인 규모보다 사건의 구조가 더 중요합니다. 이것은 과도한 사용으로 인해 실패하는 새로운 프로토콜이 아닙니다. 이는 주요 사용자 대상 제품이 이전된 후에도 여전히 위험을 안고 있는 더 이상 사용되지 않는 시스템의 레거시 계약이었습니다.
더 이상 사용되지 않는 계약이 여전히 위험할 수 있는 이유
DeFi 사용자는 비활성 프로토콜을 오래된 뉴스로 생각하는 경우가 많습니다. 트레이더는 새로운 앱으로 이동하고, 유동성은 이동하고, 팀은 초점을 바꾸지만 시장은 잊어버립니다. 하지만 블록체인은 잊지 않습니다. 계약이 여전히 배포되고 호출 가능하며 자산을 보유하거나 자산에 액세스할 수 있는 경우 공격 표면의 일부로 남을 수 있습니다.
이른바 좀비 계약의 문제점이 바로 이것이다. 더 이상 프로젝트 로드맵의 중심이 아닐 수 있지만 여전히 온체인에 존재합니다. 변경 불가능한 경우 개발자는 취약점이 발견된 후 업그레이드, 일시 중지 또는 패치하는 능력이 제한될 수 있습니다.
이는 어려운 보안 문제를 야기합니다. DeFi는 투명성과 영속성을 기반으로 구축되었지만 오래된 시스템이 계속 노출되면 그 영속성이 문제가 될 수 있습니다.
사용자의 경우 교훈은 간단합니다. 더 이상 사용되지 않는 계약에 남아 있는 자금은 간과하기 쉬운 위험을 초래할 수 있습니다. 프로젝트가 평판이 좋더라도 오래된 인프라에는 활성 프로토콜과 동일한 모니터링, 유동성 또는 비상 대응 옵션이 없을 수 있습니다.
더 광범위한 DeFi 보안 시사점
Aztec Connect 익스플로잇은 DeFi 전반에 걸쳐 더 넓은 패턴에 적합합니다. 많은 공격이 더 이상 명백한 프런트 엔드 사기에서 발생하지 않습니다. 이는 계약 논리, 업그레이드 가정, 오라클 처리, 회계 시스템 및 잊혀진 인프라의 극단적인 사례에서 비롯됩니다.
그렇기 때문에 SlowMist와 같은 기술적인 사후 분석이 특히 가치가 있습니다. 그들은 하나의 손실을 설명하는 것 이상의 역할을 합니다. 공격자가 올바른 경로를 찾으면 스마트 계약 설계의 작은 가정이 얼마나 심각한 취약점이 될 수 있는지 보여줍니다.
개발자의 경우 이 사례는 종료 계획의 필요성을 강화합니다. 프로토콜 지원 중단에는 명확한 사용자 마이그레이션, 유동성 철회 지침, 남은 계약 모니터링, 잔여 위험에 대한 공개 커뮤니케이션이 포함되어야 합니다.
사용자의 경우 한때 안전해 보였다는 이유만으로 기존 DeFi 시스템에 자금을 남겨 두지 않는 것이 또 다른 이유입니다.
이 익스플로잇은 더 이상 사용되지 않는 계약과 관련될 수 있지만 교훈은 현재입니다. 암호화폐에서는 비활성 인프라가 여전히 활성 위험이 될 수 있습니다.
