디파이 프로젝트 스파르탄 프로토콜, 취약점 공격으로 3000만달러 탈취
이 기사를 공유합니다
박근모 기자
박근모 기자 2021년 5월3일 10:21
출처=B_A/Pixabay
출처=B_A/Pixabay

바이낸스 스마트체인(BSC) 기반 디파이 프로젝트인 스파트란 프로토콜(Spartan Protocol)이 '유동성 공유량 계산 취약점'을 노린 공격으로 3000만달러(약 340억원)을 탈취당했다.

스파르탄 프로토콜은 2일 오전 10시경 사회관계망서비스(SNS)를 통해 "확인되지 않은 공격자가 지금까지 알려지지 않은 취약점을 노려 약 3000만달러를 탈취했다"고 밝혔다.

이번 사건에 대해 블록체인 보안업체 펙쉴드는 "스파르탄 프로토콜의 취약점 공격은 협정세계시(UTC) 기준 5월1일 오후 4시38분39초(한국시간 5월2일 오전 1시38분경)에 이뤄졌다"며 "풀(pool)에서 자산을 찾는 과정에서 발견된 스파르탄 프로토콜의 유동성 공유 계산 결합을 악용해 발생했다"고 분석했다.

세부적으로는 바이낸스 스마트체인 기반 자동마켓메이커(AMM) 프로토콜인 팬케이크스왑(PancakeSwap)에서 스파르탄 풀을 이용해 1만개의 WBNB를 플래시론 대출을 받아 스파르탄토큰(SPARTA)으로 교환하는 방식을 이용했다.

이번 사건의 악의적인 사용자는 WBNB와 스파르탄토큰을 무수히 반복하면서, 한 번에 9000여개 이상의 WBNB를 수차례에 걸쳐 수익으로 챙긴 것으로 펙쉴드는 분석했다. WBNB는 바이낸스토큰(BNB)를 디파이에서 활용하기 위해 전환한 토큰이다.

펙쉴드는 "현재 스파르탄 프로토콜을 공격한 공격자의 지갑을 모니터링하고 있다"고 밝혔다.

한편, 플래시론 대출은 블록체인 네트워크에서 블록 1개가 생성되는 시간(이더리움의 경우 약 13초, 비트코인의 경우 약 10분) 안에 무담보 대출을 실행하는 방식이다. 플래시론 공격은 서비스 취약점을 이용해 무담보 대출 실행 과정에서 약정한 금액 이상을 대출받아서, 약정 금액만 갚고 차익을 얻는다.

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.