Blockaid "이더리움 기반 에쿠보 공격…약 140만달러 탈취"
Blockaid에 따르면 이더리움 기반 에쿠보(Ekubo) 프로토콜의 커스텀 확장 계약이 공격을 받아 약 140만달러 규모 자산이 탈취됐다.
출처인 PANews는 6일 Blockaid 모니터링 결과를 인용해 에쿠보 사용자 전체가 피해를 본 것은 아니며, V2 계약을 토큰 지출자로 승인한 사용자만 위험에 노출됐다고 전했다.
이번 취약점은 에쿠보 확장 계약의 IPayer.pay 콜백 함수에서 발생한 것으로 파악됐다. token.transferFrom 호출에 쓰이는 payer, token, amount 값이 락 페이로드에서 직접 전달돼 공격자가 이를 조작할 수 있었고, 계약은 실제 락 개시자나 승인된 지불자인지 검증하지 않았다고 Blockaid는 설명했다.
이에 따라 공격자는 기존 ERC-20 승인 내역을 악용해 승인된 사용자를 지불자로 지정하고 자신을 수령자로 설정하는 방식으로 자산을 빼낸 것으로 전해졌다.
앞서 관련 보안 사고가 에쿠보 스왑 라우팅 계약에서도 보고됐으며, 당시 관련 주소에 대한 승인 취소가 권고된 바 있다.
본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사
