리본 파이낸스(구 Aevo)가 구 컨트랙트 해킹으로 270만 달러 상당의 암호화폐를 잃었습니다. 오라클 업그레이드 후 발생한 소수점 자릿수 불일치 취약점을 악용한 디파이 공격입니다.
이전 Aevo로 알려진 디파이 플랫폼 리본 파이낸스(Ribbon Finance)가 구(舊) 컨트랙트 해킹으로 270만 달러 상당의 암호화폐를 도난당했습니다. 이번 공격은 플랫폼 오라클 인프라 및 옵션 생성 절차 업그레이드 6일 만에 발생했습니다. 도난 자금은 15개의 개별 지갑 주소로 옮겨졌습니다.
웹3 보안 분석가 Liyi Zhou에 따르면, 공격자는 악성 컨트랙트를 이용해 Opyn/Ribbon 오라클 스택을 조작했습니다. 특히 가격 피드 프록시를 악용, wstETH, AAVE, LINK, WBTC에 대한 임의의 만기 가격을 공유 오라클에 주입했습니다. 이는 오라클 업그레이드 시 일부 자산(stETH, PAXG, LINK, AAVE)이 18자리 소수점을 사용하게 된 반면, USDC 등 다른 자산은 8자리를 유지하면서 발생한 소수점 자릿수 불일치가 취약점으로 작용했습니다.
공격자는 위조된 만기 가격을 사용하는 리본 파이낸스의 마진풀(MarginPool)에 대규모 숏 oToken 포지션을 설정했습니다. 이를 통해 결제 파이프라인을 조작, 수백 개의 WETH, wstETH, 수천 개의 USDC 및 여러 WBTC를 상환 거래로 절도 주소로 전송했습니다. 이번 사건은 디파이 내 오라클 보안과 컨트랙트 업데이트 시 정밀한 검증의 중요성을 시사합니다.
📚 용어 설명
- **디파이(DeFi):** 탈중앙화 금융의 약자로, 중개자 없이 블록체인 기반으로 금융 서비스를 제공하는 시스템.
- **오라클(Oracle):** 블록체인 외부 데이터를 스마트 컨트랙트에 연결하여 사용하는 서비스.
- **스마트 컨트랙트(Smart Contract):** 블록체인에 저장되어 미리 정해진 조건이 충족될 때 자동으로 실행되는 계약.
- **oToken(o토큰):** 옵션 계약을 나타내는 토큰으로, 특정 조건 하에 자산 매수 또는 매도 권리를 부여.
- **마진풀(MarginPool):** 암호화폐 마진 거래에 필요한 자금을 모아 관리하는 유동성 풀.
키워드: 리본 파이낸스, 디파이 해킹, 오라클 취약점, 암호화폐, 스마트 컨트랙트