바이낸스 스마트 체인(BSC) 기반의 분산형 금융 프로토콜인 ‘벨트 파이낸스(Belt Finance)’는 최근 해커에게 수백만 달러를 빼앗겼다.
코인텔레그래프에 따르면, 디파이 악용에 대한 사후 처리를 작성하는 렉트 블로그(The Rekt Blog)에는 공격자가 프로토콜의 볼트가 담보의 가치를 계산하는 방식의 결함을 이용했으며, 이로 인해 “BSC에서 이제 악명 높은 플래시 대출 공격 시즌에 한 단계 더 추가”할 수 있었다고 밝혔다.
이어 “게다가 또 다른 포크가 컨베이어 벨트에서 굴러 떨어져 630만 달러가 해커의 손에 바로 떨어졌다.”고 덧붙였다.
렉트는 팬케이크스왑에서 총 8개의 플래시 대출이 3억8500만 달러의 바이낸스 USD (BUSD)로 이루어졌다고 밝혔다.
벨트BUSD 금고의 “엘립시스” 전략은 플랫폼에서 가장 강조되지 않은 전략이었기 때문에 이용되었다.
벨트 파이낸스는 최적 수익률 집계기를 사용하여 예금자에게 수동 수익률 생성을 제공한다.
엘립시스는 바이낸스 스마트 체인의 미끄러짐이 적은 스테이블코인의 스와핑이 가능한 분산형 거래소다.
벨트USD 금고는 또한 BSC 기반 프로토콜인 비너스, 알파카, 포튜브에 수율 생성을 위한 자본을 배치한다.
지난 일요일 스시스왑의 핵심 개발사인 무디트 굽타(Mudit Gupta)는 이 사건을 조사하는 트위터 스레드를 게재하며, 플래시 대출 공격을 “더 복잡한 해킹 중 하나”라고 표현했다.
벨트의 금고는 채택된 각 전략에 따라 목표 잔액으로 작동한다고 그는 설명했다.
사용자가 금고에 돈을 예치할 때 자본은 가장 과소평가된 전략에 할당된다.
누군가 금고에서 돈을 인출하면, 그것은 가장 많이 가입된 전략에서 돈을 인출한다.
굽타는 공격자가 이 시스템을 악용해 여러 전략에 걸쳐 여러 건의 거래를 해 플래시 대출을 상환하기 전에 풀의 가치를 부풀리고 600만 달러 이상의 이익을 챙겼다고 주장했다.
굽타는 다음과 같이 결론을 내렸다.
“기본적으로 이 문제는 벨트가 엘립시스와 잘못 통합되었기 때문에 일어났다. 지난달에도 벨트에서 비슷한 이슈가 발생했지만 당시 문제는 비너스와의 버기 통합이었다. 벨트에 버그 없는 통합이 있는지 궁금하다”고 말했다.
비너스는 합성 스테이블 코인의 채굴을 통한 대출과 차입을 위한 또 다른 BSC 프로토콜이다.
벨트 파이낸스는 BSC 디파이 프로토콜의 길어지는 목록에서 가장 최신으로 이용되고 있다.
지난 금요일에는 분산형 거래소 버거스왑이 공격을 받아 720만 달러의 자금이 빠져나갔다.
올해 들어 지금까지 크림 파이낸스, bEarn, 보그드 파이낸스, 우라늄 파이낸스, 미어캣 파이낸스, 세이프문, 스파르탄 프로토콜은 모두 바이낸스 스마트 체인에 대한 공격을 모두 겪었다.
바이낸스는 추가 침입을 완화하기 위해서 현재 블록체인 정보 회사인 싸이퍼트레이스에 분석 지원을 요청했다.