2023년 1분 기 Web3,0분야 보안 보고서:EULER FINANCE

2023년 1분 기 Web3,0분야 보안 보고서:EULER FINANCE | CertiK Analysis Report

#crypto #cryptocurrency #blockchain #defi #analysis #web3 #certik #eulerfinance #exploit
2023년 1분 기 Web3,0분야 보안 보고서:EULER FINANCE | CertiK Analysis Report

2023년 1분기에는 207건 이상의 보안 사건이 발생했으며 Web3.0 프로토콜에서 악의적인 행위자들이 3.2억달러 이상을 탈취했습니다. 이는 2022년 4분기의 피해 금액인 9.5억 달러의 1/3과 1분기에 피해 금액인 13억 달러의 1/4보다 더 큰 금액입니다.
Euler Finance의 1.97억 달러 익스플로잇 사건만 1분기 모든 피해 금액의 60%이상을 차지했으며, 이는 대규모 프로토콜을 성공적으로 이용하면 해커가 거대한 수익을 얻을 수 있다는 사실을 드러내고 있습니다.
이외에도 2023년 1분기에는 전통적인 금융 업계와의 강력한 연결 중 하나인 Silvergate Bank의 파산과 Silicon Valley Bank 위기로 인한 USDC 스테이블의 디페깅 등, Web3.0 분야에서 기록될 만한 몇 가지 중요한 사건이 발생했습니다.
Web3.0 분야에서는, 이번 분기의 이러한 돌발 상황은 이미 놀라운 일이 아닙니다.

Euler Finance 사건은 2023년 1분기에 발생한 가장 대규모의 보안 사건 중 하나였습니다.

Euler Finance는 “거의 모든 암호화폐 자산을 대출하고 대출을 받을 수 있는 이더리움의 비보관식 프로토콜”입니다. 공격자는 최종적으로 약 1.97억 달러 상당의 금액을 획득했으며, 이 사건 하나만으로도, 2023년 1분기 Web3.0 보안 사고로 인한 손실 총액이 2배 이상 늘어났습니다.

Euler의 취약점은 Euler Pool 컨트랙트의 donateToReserve 함수에 있습니다. 이 함수는 유동성 담보 상태에 대한 적절한 검사가 부족하여 사용자가 일부 레버리지 예금을 자의적으로 포기하여 자금 풀이 빚을 지게 만드는 결과를 가져왔습니다.

공격자는 Aave로부터 받은 2000만 DAI 플래시론을 통해 Euler 대출 프로토콜의 “Mint” 함수를 이용해 높은 레버리지 포지션을 생성했습니다. Mint 함수는 사용자가 대출과 상환을 반복해서 할 수 있도록 합니다. 이는 대출 순환을 만드는 방법으로서 지분 및 부채 토큰을 생성하고 지분 토큰을 예금으로 입금한 다음 이를 대출에 사용하는 것입니다.

공격자는 2000만 DAI를 입금하고 Mint 함수를 이용하여 자신의 포지션을 2억 달러로 증폭시켰습니다. 그리고 1000만 달러를 상환하여 다시 2000만 eDAI 토큰을 빌릴 수 있게 되었으며 취약한 “donateToReserves” 함수를 이용하여 프로토콜에 1억 eDAI 토큰을 기부함으로써, 공격자의 포지션이 청산 영역으로 밀어 넣었습니다. 그 후, 공격자는 자신의 포지션을 청산하고 Euler 플랫폼의 운영 방식에 따라 20%의 수익을 얻었습니다.

해당 공격이 발생한 2주 후, 공격자는 대부분의 자금을 반환했으며 8,500만 달러이상의 55,000개 ETH를 해당 프로토콜로 이체했습니다. Euler와의 합의 내용은 정확히 알려지지 않았지만, 피해를 받은 사용자들이 일부나 전액을 돌려 받을 가능성이 있을 것으로 보입니다.