바이낸스 스마트 체인의 분산형 금융 생태계에서 팬케이크 버니에 이어 일주일 만에 두 번째 플래시 대출 공격이 발생한 것으로 나타났다.
새로운 공격으로 DeFi 플랫폼 Bogged Finance에서 총 유동성의 절반인 300만 달러가 빠져나갔다.
연구팀은 23일 공격을 확인하면서 이용자들에게 “문제가 해결될 때까지 네이티브 토큰을 구매하지 말라”고 경고했다.
개발팀은 공격이 시작되었을 때 온라인 회의를 통해서 45초, 즉 15블록 이내에 공격을 파악하고 완화했다.
그럼에도 해커는 6백만 달러의 유동성 중 3백만 달러를 빼낸 것으로 나타났다.
이로 인해 BOG 토큰 가격은 공격 이후 약 1.8달러에서 0.0003달러로 폭락했다.
Bogged Finance를 사용하면 모든 Binance SmartChain 기반 토큰에 대해 제한 주문이 가능하다.
이에 Bogged Finance 개발팀은 미디엄 게시물에 공격 세부 정보를 공유했다.
개발팀 측은 “공격자가 플래시 대출을 활용하여 BOG 스마트 계약의 스테이킹 섹션의 결함을 이용하여 스테이킹 보상을 조작하고 거래 수수료를 청구하거나 태우지 않고 공급 물가상승을 유발하여 순 인플레이션을 발생시킬 수 있었다”고 밝혔다.
개발팀은 47,500 BOG의 거래 제한으로 공격자의 자동화된 프로세스가 느리게 만들었고 잠재적으로 피해를 완화시켰다.
선두 개발자가 거래 수수료를 사용하지 않음으로써 공격을 시도하기 45초 전에 해커는 총 11건의 거래를 할 수 있었고 11,358개의 BNB(Binance Coin)를 만들어냈다.
그리고 Bogged Finance은 “공격자가 사용한 것과 동일한 악용을 사용하여 유동성을 새로운 계약으로 이전하는 작업을 하고 있다”며, “이로써 계약의 업데이트된 버전을 바이낸스 스마트 체인에 배치할 것”이라고 덧붙였다.
이전에 주조된 750만개의 토큰을 이전 기간 동안 태운 후, 보그드 파이낸스는 보유자들의 유동성 토큰을 공중에 띄울 것으로 보인다.
Bogged Finance는 “플랫폼의 기본 토큰인 BOG 비용을 지불했다면 안전하다”라고 밝혔다.
최근의 발표에 따르면 연구팀은 전체 공정에서 48시간이 걸리는 소규모 순환공급을 예상하고 있다.
지난 주, 저명한 BSC 기반 DeFi 프로토콜 팬케이크 버니가 같은 방식으로 공격을 받았다. 해커들은 플래시 대출 공격에 악용하여 2억 달러 이상의 암호화폐를 만들어냈다.