USPD 스테이블코인 프로토콜에서 100만 달러 규모의 해킹 사건이 발생했습니다. CPIMP 공격으로 인한 무단 발행과 유동성 고갈에 대한 상세 내용과 USPD 팀의 경고를 확인하세요. 디파이(DeFi) 보안의 중요성을 강조합니다.
탈중앙 금융(DeFi) 프로토콜인 US Permissionless Dollar(USPD)가 심각한 보안 침해로 100만 달러 이상의 유동성 고갈 사태를 겪었습니다. 해커는 USPD 스테이블코인 무단 발행을 통해 약 3,122 ETH를 담보로 예치 후, 약 9,800만 개의 USPD 토큰을 민팅했습니다. 이 과정에서 초기 예치금의 10배 토큰이 생성되었고, 해커는 추가로 237 stETH 담보를 탈취했습니다. 탈취된 스테이블코인은 탈중앙화 거래소 커브(Curve)를 통해 약 30만 달러 상당의 USDC로 전환되었습니다.
USPD 팀은 공식 X 계정을 통해 사건 보고서를 발표하며, 사용자들에게 즉시 USPD 구매를 중단하고 모든 승인을 철회할 것을 경고했습니다. 펙쉴드 알림(PeckShield Alert) 등 유명 사이버 보안 계정들도 동참했습니다. 이번 공격은 ‘CPIMP'(Clandestine Proxy In the Middle of Proxy)라는 복합적인 공격 벡터를 이용했습니다. 해커는 9월 16일 USPD 프로토콜 배포 중 Multicall3 트랜잭션으로 프록시 초기화 작업을 선점했습니다.
해커는 CPIMP를 통해 프로토콜 스크립트 실행 전 관리자 권한을 은밀히 탈취, 수개월 기다린 후 무단으로 코인을 발행했습니다. USPD 감사 코드에 호출을 전달하는 ‘그림자 계약’ 구현 등 정교한 수법을 사용했습니다. USPD 측은 이번 사건이 스마트 컨트랙트 로직 결함이 아니며, @NethermindEth 및 Resonance 같은 최고 수준 보안 감사 회사로부터 엄격한 감사를 받았고 코드 자체는 업계 표준을 준수하며 안전하다고 강조했습니다. 이는 핵심 스마트 컨트랙트 자체보다 배포 및 프록시 관리 과정의 취약점이 악용되었음을 시사합니다.
📚 용어 설명
- 스테이블코인: 가치 변동성을 최소화하도록 설계된 암호화폐.
- 디파이(DeFi): 탈중앙화 금융의 약자로, 블록체인 기반의 금융 서비스.
- stETH: 스테이킹된 이더리움(ETH)을 나타내는 리퀴드 스테이킹 토큰.
- 프록시: 다른 스마트 컨트랙트와의 상호작용을 중개하는 스마트 컨트랙트.
- 스마트 컨트랙트: 블록체인 상에서 미리 정해진 조건에 따라 자동으로 실행되는 계약.
키워드: USPD 스테이블코인, 디파이 해킹, CPIMP 공격, 유동성 고갈, 암호화폐 보안