크림 파이낸스가 재진입 취약점으로 인해 1800만 달러 이상이 도난당했으며, 이는 올해 세 번째 공격이다

저자: 체인 포획자

오늘 정오, DeFi 대출 플랫폼 Cream Finance가 플래시 론 공격을 받았으며, 해커는 4.2억 개의 AMP, 1308개의 ETH 및 소량의 USDC 등 스테이블 코인 자산을 획득하여 총 자산 가치는 1800만 달러를 초과합니다. 이는 올해 해당 프로젝트가 세 번째로 공격을 받은 것입니다.

보안 분석 기관 PeckShield의 분석에 따르면, 이번 공격의 취약점은 AMP 토큰 계약에 재진입 취약점이 존재하여 해커가 자산을 빌리는 과정에서 자산을 다시 빌릴 수 있다는 것입니다.

구체적으로, 첫 번째 공격 거래에서 해커는 500 ETH의 플래시 론을 수행하고 자금을 담보로 예치한 후 1900만 개의 AMP를 빌렸습니다. 이후 해커는 재진입 취약점을 이용하여 AMP 토큰 전송 과정에서 다시 355개의 ETH를 빌렸습니다. 그 후 해커는 스스로 대출을 청산했습니다.

해커는 총 17개의 다른 거래에서 위의 과정을 반복하여 총 5980개의 ETH(약 1880만 달러)를 획득했습니다. 현재 모든 자금은 해커 주소에 보관되어 있으며, 추가적인 조치는 없습니다.

알려진 바에 따르면, Cream Finance는 대만 커뮤니티가 시작한 탈중앙화 대출 프로토콜로, 중장기 자산을 주력으로 하며, 연초에 YFI 생태계에 합류하였고 현재 이더리움, BSC, Polygon 등 여러 블록체인 네트워크로 확장되었습니다. DefiLlama 데이터에 따르면, Cream Finance의 현재 총 잠금량은 16억 달러로, 탈중앙화 대출 프로토콜 중에서 다섯 번째로 순위에 올라 있습니다.

이전에 해당 프로젝트는 여러 차례 해커 공격을 받았으며, 현재 누적 손실 금액은 5600만 달러를 초과합니다.

올해 2월 13일, 해커는 Alpha Homora V2 기술 취약점을 이용하여 Cream Finance의 무담보 크로스 프로토콜 대출 기능 Iron Bank에서 ETH, DAI, USDC 등의 자산을 빌려 약 3800만 달러의 손실을 초래했습니다. 이후 Alpha Finance는 자산을 전액 보상하겠다고 발표했습니다.

같은 달 28일, DeFi 집계 플랫폼 Furucombo가 심각한 취약점 공격을 받아 Cream Finance의 준비금 계좌가 영향을 받았으며, Cream Finance 팀은 즉시 모든 외부 계약에 대한 승인을 철회했지만 여전히 110만 달러의 손실을 입었습니다.