BlockSec "BSC 체인 USDC-OCA 유동성 풀 해킹… 42만2000달러 탈취"

BlockSec의 Phalcon 모니터링에 따르면 BSC 체인에서 운영되던 미상 USDC-OCA 유동성 풀이 공격을 받아 약 42만2000 USDC가 유출됐다. 공격자는 OCA 토큰의 `sellOCA()` 함수에 존재하던 디플레이션 메커니즘 취약점을 악용한 것으로 분석됐다.

`sellOCA()` 함수가 호출될 때마다 OCA 토큰이 교환됨과 동시에 유동성 풀에서 동일한 규모의 OCA가 제거되면서, 풀 내 토큰 가격이 비정상적으로 상승하는 구조가 형성됐다. 공격자는 이 구조를 이용해 짧은 시간 안에 유동성을 빼내는 방식으로 자금을 탈취했다.

공격은 총 세 건의 거래로 이뤄졌다. 첫 번째 거래에서 실제 공격이 실행됐고, 이어진 두 건의 거래는 주로 블록 생성자에게 뇌물을 지급해 트랜잭션을 우선 처리하도록 하는 데 사용됐다. BlockSec 분석에 따르면 공격자는 48club-puissant-builder에 각각 약 43 BNB, 69 BNB를 지불했으며, 이를 감안해도 최종 이익은 약 34만달러 수준으로 추산된다.

같은 블록 내 52번째 위치에서 발생한 또 다른 거래는 공격을 선점하려는 시도로 보이나, 실제 탈취에는 실패한 것으로 나타났다.