코인텔레그래프에 따르면, 분산형 금융 프로젝트인 xToken은 해커들이 xSNX 제품의 스마트 계약에서 취약점을 발견한 후 지난 주말 또 다른 공격을 받았다.
8월 29일, xToken 팀은 이 공격으로 인해 xToken의 xSNX 상품에서 약 450만 달러의 자금이 빠져나갔다고 보고했는데, 이는 사용자가 프로토콜의 복잡한 스마트 계약과 직접 상호작용하지 않고도 신세틱스 기반 자산에 노출될 수 있게 해준다.
이 프로젝트는 몇 시간 뒤 포스트 모템을 발행해, 악의적인 행위자가 공격을 수행하기 위해 dYdX 분산형 거래소(DEX)로부터 2만5000 ETH(대략 8100만 달러)에 대한 플래시 대출을 받았다고 설명했다.
이어 이더리움을 담보로 인기 디파이 머니마켓 프로토콜인 에이브(Aave)를 이용해 150만 신세틱스 거버넌스 토큰(SNX)과 공동모음 유동성 토큰 거래소 뱅코(Bancor)를 빌렸다.
이들은 탈중앙화 거래소 키버에서 650만 USDC로 교환돼 SNX 가격에 하방 압력을 행사했다.
공격자는 이어 USDC를 신세틱스의 USD 토큰(sUSD)으로 교환 한 뒤, 인위적으로 하락한 가격으로 61만 4천 SNX를 81만1000 sUSD에 구입하기로 한 xToken의 계약상의 결함을 이용했다.
현재 가격으로, 그 해커는 7백만 달러 상당의 SNX를 가지고 달아났다.
이번 공격에 대해 xToken은 다음과 같이 말하면서 xSNX 상품을 폐기할 것이라고 발표했다.
“현재 xSNX 구현은 가장 복잡한 상품으로, 의존성이 복잡하고 취약성에 대한 표면적이 상당히 넓다.”
xToken은 사용자가 수익률을 얻기 위해, 보유자가 스테이킹이나 거버넌스 또는 기타 프로토콜 상호작용에 참여하도록 요구하는 AAVE, SNX와 같은 암호화폐 자산의 이자 부담 파생상품을 보유할 수 있도록 한다.
이번 사건은 xToken이 올해 두번째 악용 피해를 겪은 것이다.
지난 5월 악성 행위자가 Kyber DEX를 조작하는 동시에 xToken 가격 계산을 이용하면서 비슷한 운명을 겪었다.
해당 사건으로 인해 당시 SNX 토큰으로 약 2,500만 달러의 프로토콜 비용이 소요되었다.
앞으로, xToken 팀은 투자자의 손실을 계산하고 다음주 부터 팀의 기본 토큰인 XTK를 기반으로 보상 프로그램을 구성하기 시작할 것이라고 밝혔다.