TechFlow 보도에 따르면, 5월 6일 보안 기관 Blockaid(@blockaid_)는 이더리움 상의 Ekubo 프로토콜 v2 맞춤 확장 계약이 지속적인 공격을 받고 있으며, 현재까지 약 140만 달러의 자산이 유출됐다고 밝혔다. 이번 공격의 근본 원인은 해당 확장 계약의 IPayer.pay 콜백 함수가 매개변수 출처를 효과적으로 제한하지 못해 공격자가 payer, token, amount 매개변수를 임의로 조작할 수 있었기 때문이다. 이로 인해 사용자가 이미 승인한 토큰을 무단으로 전송할 수 있었다.
Ekubo 핵심 프로토콜 사용자는 영향을 받지 않으나, 해당 v2 계약 주소(0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd)를 토큰 지출 주체로 승인했던 사용자는 직접적인 위험에 처해 있다. Blockaid는 관련 사용자에게 즉시 승인을 철회할 것을 권고한다.
보안 기관 Blockaid(@blockaid_)에 따르면, Ekubo 프로토콜의 이더리움 기반 v2 맞춤 확장 계약이 지속적인 공격을 받고 있으며, 현재까지 약 140만 달러의 손실이 발생했습니다. 공격의 근본 원인은 해당 확장 계약의 <code>IPayer.pay</code> 콜백 함수가 매개변수 출처를 효과적으로 제한하지 않아 공격자가 <code>payer</code>, <code>token</code>, <code>amount</code> 매개변수를 임의로 조작할 수 있었기 때문입니다. 이로 인해 공격자는 사용자가 이미 승인한 토큰을 무단으로 전송할 수 있었습니다. Ekubo 핵심 프로토콜 사용자에게는 영향이 없으나, 해당 v2 계약(<code>0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd</code>)을 토큰 지출 주체로 승인했던 사용자는 직접적인 위험에 노출되어 있습니다. Blockaid는 관련 사용자들이 즉시 승인을 철회할 것을 권고합니다.
Web3 심층 보도에 집중하고 흐름을 통찰
