골드핀치 파이낸스(Goldfinch Finance) 사용자가 스마트 컨트랙트 취약점 공격으로 약 33만 달러 해킹 피해. 탈취 자금은 토네이도 캐시로 이동 중이며, PeckShield는 긴급 승인 철회를 경고합니다. 디파이 보안 강화의 중요성을 강조합니다.
블록체인 보안 플랫폼 PeckShieldAlert에 따르면, 이더리움 기반 탈중앙 금융(DeFi) 플랫폼 골드핀치 파이낸스(Goldfinch Finance)의 사용자 ‘deltatiger.eth’가 약 33만 달러(118 ETH 상당) 규모의 스마트 컨트랙트 해킹 피해를 입었습니다. 공격자는 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43 주소의 오래된 스마트 컨트랙트 취약점을 악용하여 deltatiger.eth의 지갑을 제어하고 자금을 탈취한 것으로 파악됩니다. 탈취된 이더리움은 암호화폐 믹서인 토네이도 캐시(Tornado Cash)로 전송되어 자금 세탁이 진행 중입니다.
이번 공격의 핵심은 컨트랙트 내 ‘collectInterestRepayment()’ 함수에 존재했던 취약점이었습니다. 이 함수는 승인된 주소로부터 USDC를 전송할 수 있도록 설계되었으나, 공격자는 이를 악용하여 1,000 USDC를 예치한 후 주가를 인위적으로 부풀리는 방식으로 여러 차례 자금을 반복적으로 인출했습니다. PeckShield는 이러한 공격 패턴을 분석하며, 유사한 피해를 방지하기 위해 영향을 받은 컨트랙트에 대한 모든 승인 권한을 즉시 철회할 것을 사용자들에게 강력히 경고했습니다. 해커는 여전히 토네이도 캐시를 통해 추가 자금 세탁을 시도하고 있을 가능성이 높습니다.
골드핀치 파이낸스는 a16z Crypto 및 Coinbase Ventures와 같은 유수의 투자사들의 지원을 받는 비담보 대출 중심의 탈중앙 금융 프로토콜입니다. 일반적인 암호화폐 대출 플랫폼과 달리 담보 없이 대출을 진행하는 독특한 방식을 취하며 주목받아 왔습니다. 현재까지 deltatiger.eth와 골드핀치 파이낸스 양측 모두에서 이번 해킹 사건에 대한 공식적인 업데이트나 공격자와의 소통 여부에 대한 발표는 없는 상황입니다. 이번 사건은 디파이 생태계 전반에 걸쳐 스마트 컨트랙트 감사 및 보안의 중요성을 다시 한번 일깨우는 계기가 되었으며, 사용자들에게는 정기적인 지갑 승인 권한 관리와 검증된 컨트랙트 사용의 필요성을 강조합니다.
📚 용어 설명
- DeFi (탈중앙 금융): 블록체인 기반으로 중개자 없이 금융 서비스를 제공하는 시스템.
- Smart Contract (스마트 컨트랙트): 블록체인에 저장되며, 특정 조건 충족 시 자동으로 실행되는 계약.
- Tornado Cash (토네이도 캐시): 암호화폐 거래의 익명성을 높이는 데 사용되는 믹서 서비스.
- Exploit (익스플로잇): 소프트웨어나 시스템의 취약점을 이용해 공격하는 행위.
- Revoke Approvals (승인 철회): 특정 컨트랙트가 내 지갑 자산에 접근하는 권한을 취소하는 것.
키워드: 골드핀치 파이낸스, 스마트 컨트랙트 취약점, 디파이 해킹, 토네이도 캐시, 암호화폐 보안
