
청두 체인세이프티: DeFi 대출 프로토콜 Akropolis 재진입 공격 사건 분석
최근 DeFi 대출 프로토콜 Akropolis가 사이버 해커의 공격을 받았다. Akropolis 창립자이자 최고경영자(CEO)인 아나 안드리아노바(Ana Andrianova)는 공격자가 파생상품 플랫폼 dYdX의 플래시론을 이용해 재진입 공격을 감행했으며, 이로 인해 200만 달러의 손실이 발생했다고 밝혔다.
청두 체인세큐리티 팀은 자체 개발한 블록체인 보안 상황 인식 플랫폼(Beosin-Eagle Eye)에서 경보를 수신한 후 즉시 이번 공격 사건에 대한 조사를 실시하였으며, 그 결과 다음과 같은 사실을 확인하였다.
1. Akropolis가 실제로 공격을 당함
2. 공격 스마트계약 주소:
0xe2307837524db8961c4541f943598654240bd62f
3. 공격 수법: 재진입 공격(Reentrancy Attack)
4. 공격자의 수익 약 200만 달러
공격 기법 분석
체인상 트랜잭션 분석 결과, 공격자는 아래 이미지와 같이 두 차례의 민팅(Minting)을 수행한 것으로 나타났다.


참조 링크: https://etherscan.io/tx/0xddf8c15880a20efa0f3964207d345ff71fbb9400032b5d33b9346876bd131dc2
그러나 oko.palkeo.com의 트랜잭션 호출 내역에 따르면 공격자는 deposit 함수를 단 한 번만 호출했음을 알 수 있다. 아래 이미지 참조.

함수 호출 과정을 추적한 결과, 청두 체인세큐리티 팀은 공격자가 deposit 함수를 호출할 때 token 매개변수로 자신의 공격용 스마트계약 주소를 설정하였으며, 해당 계약에서 transferFrom을 실행할 때 사용자가 지정한 계약 주소가 호출된다는 것을 발견하였다. 아래 이미지 참조.

코드 분석 결과, deposit 함수를 호출할 때 사용자는 아래 이미지와 같이 token 매개변수를 임의로 지정할 수 있었다.

또한 deposit 함수 내부에서 호출되는 depositToProtocol 함수는 tkn 주소의 safeTransferFrom 함수를 호출하는 방식으로 구성되어 있어, 공격자가 "safeTransferFrom" 함수를 악의적으로 구현함으로써 재진입 공격을 가능하게 만들었다.

사건 요약
DeFi 대출 및 스토리지 서비스 제공업체인 Akropolis는 스토리지 영역에 Curve 프로토콜을 사용하고 있으며, 이는 당일 이전에도 공격에 악용된 바 있다. 공격자는 해당 프로젝트의 yCurve 및 sUSD 풀에서 5만 달러 상당의 DAI를 인출하였으며, 풀을 완전히 고갈하기 전까지 총 200만 달러 상당의 DAI를 탈취하였다.
이번 공격에서는 해커가 dYdX의 플래시론과 결합된 재진입 공격을 통해 자산 저장 풀을 침탈하였다. 프로토콜에서 자산 저장 풀은 가장 중요한 방어 대상이며, 프로젝트 운영측은 자금 풀의 보안 예방 및 보호 조치를 최우선 순위에 두어야 한다. 특히 해커들의 공격 수법이 계속 진화하고 있는 만큼 정기적인 종합 점검과 코드 업그레이드는 필수불가결하다.
끝으로 청두 체인세큐리티는 프로젝트 운영자들에게 보안 감사와 정기 점검을 소홀히 해서는 안 되며, 투자자들에게는 항상 보안 경계를 늦추지 말고 투자 리스크에 주의할 것을 강력히 촉구한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














