개인 키 해킹으로 180만 달러에 악용된 동심 유동성 관리자

공격자는 "사회 공학 공격"을 사용하여 프로토콜의 배포자 개인 키를 손상시킨 다음 토큰을 발행하고 자금을 소각하는 데 사용했습니다.

 

프로토콜의 공식 X 계정에 따르면 유동성 관리자 앱 Concentric이 Arbitrum에서 악용되었습니다. 공격자는 "사회 공학 공격"을 사용하여 프로토콜 배포자 계정의 개인 키를 손상시켰으며, 이 개인 키는 "금고를 업그레이드하고 새 LP 토큰을 발행한 후 자산의 금고를 빼내는 데 사용되었습니다"라고 팀은 밝혔습니다.

Concentric은 사용자에게 프로토콜 문서에 나열된 모든 볼트 주소의 승인을 취소할 것을 촉구하고 있습니다.

 

블록체인 보안 플랫폼 CertiK의 보고서에 따르면 이번 공격으로 지금까지 180만 달러 이상의 손실이 발생했습니다. CertiK는 공격 지갑이 12월 13일 OKX 탈중앙화 거래소 익스플로잇을 수행한 지갑과 '연결'되어 있다고 밝혔는데, 이는 두 공격이 모두 동일한 사람이나 그룹에 의해 수행되었을 수 있음을 암시합니다.

공격자 지갑은 Concentric 계약에서 adminMint 기능을 호출하여 0.001 CONE-1 토큰을 발행했습니다. 그런 다음 CONE-1 토큰을 AlgebraPool의 자금으로 상환하기 위해 "소각"을 요청했습니다. 이 프로세스는 여러 번 반복되어 공격자가 여러 ERC-20 토큰을 얻을 수 있게 되었으며, 이후 이 토큰은 Ether로 교환되었습니다.
ETH

티커 다운
$2,367

 

동심팀은 조사에 착수했으며 최대한 빨리 사후 보고서를 발표할 것이라고 밝혔습니다. 보고서에서 팀은 취약점을 해결하기 위한 계획을 제공할 것입니다. “우리 팀은 이 문제를 해결하고 Concentric 프로토콜의 무결성을 복원하기 위해 최선을 다하고 있습니다.”라고 Concentric은 말했습니다.


유동성 관리 프로토콜은 최소 및 최대 가격을 설정하고 분산형 거래소(DEX)에서 유동성 풀의 균형을 재조정하는 데 사용됩니다. Uniswap이 2021년에 유동성 공급자가 자산을 거래할 수 있는 최소 및 최대 가격을 설정할 수 있는 "집중 유동성" 기능을 출시한 이후 인기가 높아지기 시작했습니다. 이로 인해 유동성 제공이 더욱 복잡해졌으며 일부 사용자는 자산을 처리하기 위해 관리 프로토콜을 사용하게 되었습니다.

또 다른 유동성 관리자인 감마 프로토콜(Gamma Protocol)은 1월 4일 공격을 받아 스마트 계약 취약점을 통해 거의 50만 달러에 달하는 손실을 입었습니다. 두 공격은 서로 다른 방법을 사용했으며 관련성이 없는 것으로 보입니다.