3월 22일, 스테이블코인 프로토콜인 레졸브(Resolv)가 공격을 받았다고 확인했습니다. 공격자들은 8천만 개 이상의 USR(레졸브의 스테이블코인)을 발행하여 약 2천3백만 달러의 수익을 올렸습니다. 베오신(Beosin) 보안팀은 공격 흐름과 자금 추적을 분석했으며, 그 결과를 아래에 공유합니다.

공격 흐름 분석

이번 사건에서 공격자는 약 8천만 미화 8천만 달러를 발행하는 세 건의 발행 거래를 시작했습니다. 주요 거래 두 건의 해시는 다음과 같습니다.

1. 0xfe37f25efd67d0a4da4afe48509b258df48757b97810b28ce4c649658dc33743

2. 0x41b6b9376d174165cbd54ba576c8f6675ff966f17609a7b80d27d8652db1f18f

공격자의 거래는 발행 프로세스를 완료하는 데 사용되는 completeSwap 함수에 의해 검사됩니다. 이 함수의 구체적인 구현은 원문 링크 에서 확인할 수 있습니다.

사용자가 USDC를 입금하면 SERVICE_ROLE은 해당 사용자를 위해 발행할 USR의 양을 결정합니다. 이 함수는 최소 발행량을 확인하지만 최대 발행량 제한은 없습니다. 상한선이나 담보 비율 제한이 없으므로 SERVICE_ROLE은 어떤 금액이든 USR을 발행할 수 있습니다.

SERVICE_ROLE은 오프체인 프로그램이며 오픈 소스가 아니므로, 오프체인 인프라의 취약점이나 개인 키 유출로 인해 잠재적인 공격이 발생할 수 있습니다. 더욱이, 온체인 보안 검사(타임락, 다중 서명 검증, 최대 발행 비율 제한 없음)가 부족하여 Resolv 프로토콜의 보안 방어력이 약화되고, SERVICE_ROLE에 문제가 발생할 경우 완화 또는 복구 조치가 마련되어 있지 않아 단일 장애 지점이 됩니다.

도난 자금 추적

베오신은 주소 태그와 온체인 거래 데이터를 결합하여 블록체인 온체인 조사 및 추적 플랫폼인 베오신 트레이스를 통해 상세한 자금 추적 작업을 수행했으며, 그 결과를 다음과 같이 공유했습니다.

해커의 주소는 0x04A288a7789DD6Ade935361a4fB1Ec5db513caEd이며, 3월 21일에...

그들은 각각 25.34 ETH와 26.85 ETH를 받았는데, 이는 아마도 이번 공격의 초기 자금 출처였을 것으로 추정됩니다. Beosin의 정보 분석에 따르면, 초기 자금을 제공한 주소인 0xda79e97c5ada3fdb196e7c49194ce5352ba48861은 Wizard Swap 거래소의 주소입니다.

공격 개시 후, 해커는 발행된 미화 은화(USR)를 이더리움(ETH)으로 변환하여 안전하게 보관하고 유니스왑(Uniswap)과 같은 온체인 프로토콜을 통해 전송했습니다. 이 기사가 발행된 시점 기준으로 자금이 보관된 주요 주소는 0x8ed8cf0c1c531c1b20848e78f1cb32fa5b99b81c였으며, 잔액은 11,408.85 ETH(약 2,300만 달러)였습니다.

자금 흐름은 다음 다이어그램에 나와 있습니다.

Beosin Trace의 도난 자금 흐름 분석 차트

위에 나열된 모든 주소는 Beosin KYT에서 고위험 주소로 표시되었습니다. 예를 들어, 주소 0x04a288은 다음과 같습니다.

베오신 KYT