270만 달러 해킹 후 HectorDAO의 침묵으로 투자자들 충격

270만 달러 후 HectorDAO의 투자자로 투자자들 충격

 

팬텀 네트워크의 Hector 분산형 자율 조직인 HectorDAO의 투자자들은 1월 16일 해킹으로 인해 270만 달러의 손실이 발생한 후 차가 모든 통신을 중단한 것으로 알려진 후 프로토콜의 남은 자금에 대한 통제권을 요구하고 있습니다.

익명을 요구한 HectorDAO 투자자는 Cointelegraph와의 대화에서 HectorDAO 팀이 1월 19일에 커뮤니티와의 통신을 중단했다고 밝혔습니다. 소식통에 따르면 모든 프로젝트 소셜 채널은 2023년 9월에 음소거되었습니다.

당시 HectorDAO 팀은 여전히 ​​Google 그룹 이메일 주소를 통한 연락을 허용했습니다. 그러나 DAO는 1월 19일 이전에 이 그룹을 삭제한 것으로 알려졌습니다.

설상가상으로, 프로토콜이 자체적으로 해체되고 투자자에게 자산을 반환하려고 계획한 바로 그 순간에 해킹이 발생했습니다. 이전의 보안 경고는 무시된 것으로 알려졌습니다.

블록체인 보안 회사인 CertiK에 따르면, 연구원들은 HectorDAO 팀에 악용의 근본 원인인 "addEligibleWallet" 기능으로 인한 "중앙화" 위험을 알리고 이 위험을 완화하기 위한 단계를 권장했습니다.

HectorDAO 팀은 알 수 없는 이유로 권장 변경 사항을 구현하지 않기로 결정한 것으로 알려졌습니다. CertiK는 코인텔레그래프에게 중재자 권한이 있는 모든 계정에서 이 기능을 호출할 수 있다는 공식 감사 보고서를 언급했습니다.

 

 

HectorDAO는 철저한 스마트 계약 보안 분석을 수행하기 위해 CertiK와 협력한 프로토콜과 CertiK의 진술과 달리 "모든 자산은 생산 청구 프로세스가 시작되기 전에 Redemption Vault에 안전하게 보호됐다"고 주장하면서 다른 버전의 이야기를 들려줍니다. .”

이후 블록체인 분석에 따르면 공격자는 팀의 배포자 계정에 액세스한 것으로 나타났으며, 이는 해당 공격이 내부 작업이거나 개인 키 손상의 결과였음을 암시합니다. 개발팀이 투자자들과 마지막으로 소통한 것으로 알려진 것은 1월 18일이었고 조용해지기 전이었습니다.

 

HectorDAO 해킹의 기원
HectorDAO의 이야기는 초기 투자자들이 DAO 채권을 통해 DAO 토큰인 HEC를 할인된 가격으로 구매할 수 있었던 2021년부터 시작됩니다. 이 과정을 통해 모금된 자금은 DAO의 금고로 들어갔습니다. 이론적으로 각 HEC 토큰은 금고의 일부에 대한 소유권을 나타내며 토큰 보유자를 위한 수익을 창출하기 위해 재투자될 수 있습니다.

전성기에 HectorDAO 재무부는 1억 달러 이상의 디지털 자산을 보유했습니다.

그러나 암호화폐 겨울이 시작되면서 문제가 시작되었습니다. CoinMarketCap의 데이터에 따르면 2023년 5월 1일까지 HEC의 가격은 거의 99% 폭락했습니다. 동시에 HectorDAO 재무부 가치도 하락했습니다.

이러한 어려움은 2023년 7월 6일 15억 달러 규모의 멀티체인 브리지 해킹으로 인해 Fantom 생태계에 감염이 발생하면서 더욱 가속화되었습니다. 이로 인해 HectorDAO의 재무 자산 중 일부가 이더리움 담보에서 페깅되어 추가로 800만 달러의 손실이 발생했습니다.

이 사건 이후 HectorDAO 투자자들은 DAO를 청산하고 사용자에게 자금을 반환하기 위해 2023년 7월 투표를 통해 이를 중단하기로 결정했습니다. 그러나 투표에도 불구하고 투표 당시 재무부가 보유한 1,600만 달러 대부분은 HectorDAO 해킹 직전인 2024년 1월 15일까지 아직 투자자에게 분배되지 않았습니다.

1월 15일, HectorDAO 팀은 자금을 상환될 수 있는 새로운 계약으로 이동하여 최종적으로 자금을 분배하려고 시도했습니다. 그러나 악성 계정은 0.0001 HEC만 입금한 후 270만 달러 상당의 자산을 즉시 자신에게 이체했습니다.

얼마 지나지 않아 팀은 상환 플랫폼을 종료하고 남은 모든 자산을 재무 계약으로 다시 옮겼습니다. 그 이후로 상환이 재개되지 않았습니다.

1월 18일, HectorDAO 팀은 상환 플랫폼이 해킹당했다고 발표했습니다. “Hector Network는 프로토콜이 청산의 일환으로 토큰 보유자를 상환할 때 보안 침해가 발생했으며 2024년 1월 15일에 약 USDC 270만 달러가 도난당했음을 알려드리게 되어 유감스럽습니다.”라고 밝혔습니다.

팀은 위반 사항을 "적극적으로 조사"하고 있으며 향후 업데이트를 제공할 것이라고 주장했습니다. 그러면서 “현재 환매 절차는 연기됐다”고 밝혔다.

해킹이 발표되자 일부 토큰 보유자들은 해킹이 악의적인 개발자의 소행이거나 개인 키가 손상된 것이라고 주장하며 개발팀을 정면으로 비난했습니다. 그들은 DAO의 자금을 확보하는 데 더 이상 팀을 신뢰할 수 없다고 주장했습니다.

 

1월 19일, 블록체인 분석가 Lilbagscientist는 Etherscan의 데이터를 인용하여 공격에 대한 자세한 사후 보고서를 발표했습니다. 이들에 따르면 공격 준비는 2023년 12월 16일 HectorDAO 배포자 계정이 공격자에게 0.0001 HEC를 보내면서 시작됐다. 이 0.0001 HEC는 1월 15일까지 계정에 남아있었습니다.

UTC 기준 오전 12시 32분부터 1월 15일 오전 12시 43분까지 HectorDAO 팀의 Treasury Multisig Wallet을 통해 일련의 14개 거래가 이더리움에 제출되었습니다. 확인되면 이러한 거래로 인해 재무 자금 중 일부가 HectorDAO 임시 재무 다중 서명으로 이동되고 나머지는 Hector 청산 관리자에게 전송되었습니다.

그런 다음 Hector 청산 관리자는 일부 토큰을 임시 재무부 다중서명으로 보내기 전에 분산형 거래소에서 다른 토큰과 교환했습니다. 이 프로세스가 끝나면 HectorDAO 재무부 전체가 임시 재무부 다중 서명으로 전송되었습니다.

1월 15일 오전 3시 14분부터 4시 19분 사이에 Temporary Treasury Multisig에 의해 추가 16건의 거래가 수행되어 자금이 Hector Redemption Treasury 계약으로 이동되었습니다.

오전 5시 12분에 공격자는 토큰 승인을 하여 Hector 상환 계약에 최대 1 HEC를 사용할 수 있도록 했습니다. 이후 즉시 0.0001 HEC를 계약서에 입금했습니다.

1분 후, 팀의 배포자 계정은 플랫폼의 Token Vault 계약에서 addEligibleWallet 기능을 호출하여 공격자의 지갑을 화이트리스트에 추가했습니다. 이 거래는 또한 270만 달러 상당의 USD 코인으로 환매율을 설정했습니다.
USDC

티커 다운
$1.00

오전 5시 59분에 공격자는 Token Vault 계약에 대해 mintWithdraw를 요청했습니다. 이로 인해 Hector Redemption Contract는 공격자에게 USDC 270만 달러를 보내고 예치된 0.0001 HEC를 소각했습니다. 이 거래로 공격이 완료되었습니다.

명확한 진전 없음
HectorDAO 웹사이트의 최신 업데이트는 1월 18일에 게시되었습니다. 마지막 단락에는 상환 절차가 "현재 연기되었습니다"라고 명시되어 있습니다.

“Hector Network는 이 문제를 해결하기 위해 끊임없이 노력하고 있으며 이 프로세스 전반에 걸쳐 투명성을 유지하기 위해 최선을 다하고 있으며 모든 개발 상황에 대해 계속 업데이트할 것입니다.”라고 팀은 썼습니다.

한편, HectorDAO 투자자들은 프로토콜 개발자들과의 접촉 노력이 계속 실패함에 따라 법적 조치를 고려하고 있다고 밝혔습니다. 원래는 DAO가 청산됨에 따라 투자자에게 보상하기 위해 3월에 지불이 예정되어 있었습니다. 해킹에 대한 조사가 계속되고 있습니다.