로그인

검색

Omm 파이낸스, 공격에 대한 분석 (2023년 1월)

김똥글

 

 

01.jpg

 

어제 Omm 프로토콜은 스마트 컨트랙트 악용(Exploit)을 통해 공격을 받았습니다. 해커는 IUSDC, USDS, bnUSD, sICX의 형태로 Omm 마켓에서 사용자 자금 약 190만 달러(약 23억원)를 빼내는데 성공했습니다.

 

수사는 진행 중이지만, 지금까지 알려진 내용은 다음과 같습니다.

 

 

 

 

 

 

 

무슨 일이 벌어진 것인가?


1월 21일 07:06:37 UTC에 해커가 Omm의 버그를 악용하기 위해 악의적인 컨트랙트를 사용했습니다. 18건의 악의적인 거래 과정에서 해커는 자신의 것이 아닌 IUSDC, USDS, bnUSD 담보를 인출할 수 있었습니다. 그런 다음 그들은 sICX를 빌리기 위해 도난당한 USDS를 담보로 맡겼습니다.

 

 

이 버그는 상환중인 담보를 나타내는 주소를 사용하는 상환 기능에 있었습니다. 외부 호출은 잘못된 스마트 컨트랙트를 주입할 수 있었고, 이를 통해 먼저 담보를 맡기지 않고 담보물을 상환할 수 있게 했습니다.

 

 

해커는 밸런스드(Balanced)를 사용하여 대부분의 자금을 스왑했으며, 이로 인해 bnUSD 및 기타 스테이블 코인이 목표 가격인 1 USD에서 크게 벗어났습니다.

그들은 또한 오르빗 브릿지(Orbit Bridge)를 사용하여 IUSDC를 ICON에서 이더리움과 폴리곤과 같은 다른 블록체인으로 옮겼습니다.

 

해커는 ICX도 여러 거래소로 옮겼습니다.

 

 

 

 

 

 

 

 

기여자(개발자)와 커뮤니티의 대응

 

이 문제는 일부 스테이블 코인 마켓에서 비정상적으로 높은 APY(연 이자율)를 발견한 옴 커뮤니티 회원들에 의해 처음 보고되었으며. 밸런스드에서도 이례적인 거래량이 보고됐습니다.

 

Omm 기여자(개발자)들과 다른 커뮤니티 구성원들은 이 문제를 조사한 결과 높은 APY가 Redeem API 호출을 통해 Omm 준비금(Reserves)에서 인출된 담보로 인해 발생했음을 발견했습니다.

 

 

 

 

생태계 참여자들은 다음과 같은 조치를 취했습니다.

 

- 모든 Omm 시장을 비활성화하고, 스테이블 코인 준비금의 공급 및 차입 비율을 0으로 설정.
- 추가 거래를 방지하고, 사용자에게 미치는 영향을 제한하기 위해 Balanced에 대한 모든 작업을 중단.
- 오르빗 체인과 협력하여 IUSDC 브릿지 트랜잭션 중단.
- 공격과 관련된 일부 지갑에서 ICX를 식별하고 동결하기 위해 여러 거래소에 연락.
- 예방 조치로 14:26 UTC 에 USDS에 대한 모든 신규 발행 및 상환 거래를 비활성화한 Stably에게 알림.
- 마켓 담당자들에게 연락하여 알 수 없는 거래소/마켓 메이커 지갑 주소 파악.
- 진행 방법에 대한 법률 자문을 구함.

 

 

커뮤니티 회원의 도움으로 우리는 이 익스플로잇과 관련된 모든 지갑 주소를 식별할 수 있었습니다.

 

 

 

 

 

해커의 ICON 지갑 주소

 

핵심 악용 지갑: hxc35cffe7c582cb313820fa6838dd357027ad3d07

 

 

이 주소에서 IUSDC는 다음 주소로 이전:

hx51f13e696c1b0d17f57696bdc22c6cd697706086
hxc308be82c57c7190ce623a3f39e0db39c7aa93ab
hx2cb7cfad74447a5f47f109690599a1916f349a52
hxd5271567e1121bdba855cbedd12163cb38e48e65

 

 

ICX는 다음으로 이전:

hx800acdc3572ce5a8f380de36a5ab77ea0a05046f
hxff440439df44a8ed26ca566344b54fd33c82f923
hxd5271567e1121bdba855cbedd12163cb38e48e65
hx9736efa26fd50d5f5f14848cf0cc5274dac6aba3
hx12a838246027e89fde92a681c41e5e0f37af5383
hxd66ce835aed5fa887d895b85358ec2c7a035d8cd
hxae7e22a2e04bd55d278bbf42e1557e65cca5283e
hx51f13e696c1b0d17f57696bdc22c6cd697706086

 

 

해커가 사용하는 거래소:

hxe5327aade005b19cb18bc993513c5cfcacd159e9 (XGO로 의심되며, 메인 익스플로잇 지갑에 자금 지원 - 도움을 청함)
hx6b91c8dea3114de74ecfa85908b875778c2b599c (Bybit 의심되며 - 접촉 중)
hx85532472e789802a943bd34a8aeb86668bc23265 (OKX로 의심되며 - 접촉 중)

 

 

오르빗 브릿지를 통해 USDC를 받은 이더리움과 폴리곤 주소:

0x00082ff22852c7d3eaa157abe343f9b8e64cfd85
0x7e4d6232c47789df03d5849675438605c6efa60e
0x3b074b585864884035409a091aafd1e3749e152a
0x49fedf6ff59c5f35ce53e6a31738cf84172eab55
0x517dfb8643363e3bbb034d6ce59b99ef13dd22d6
0xA28408FD24cA1BE5e666e30eEcA59Cf8cdeBa448

 

 

 

 

 

 

 


얼마나 문제가 되나요?

 

해커는 Omm 마켓에서 담보물만 훔쳤습니다. 이 공격은 Boosted OMM, OMM 유동성 풀 또는 DAO 펀드에 보유된 자산에 영향을 미치지 않았습니다.

 

스마트 컨트랙트를 분석하고 자금을 복구할 수 있는 지갑을 확인한 후 다음과 같은 추정하고 있습니다.

 

 

도난:
6,743,265 sICX
599,704 IUSDC
342,898 USDS
264,111 bnUSD

 

 

복구 가능:
2,741,431 sICX (해커의 지갑에서 이미 복구됨)
242,460 IUSDC (오르빗 체인에 의해 동결됨)

 

 

아직 복구되지 못한 물량(Outstanding):
4,001,834 sICX (현재 시장 가격으로 ~927,224 USD)
357,244 IUSDC
342,898 USDS
264,111 bnUSD

 

 

도난당한 자금을 금액으로 환산 = $ 1,891,477.80 달러(2023년 1월 23일 환율기준 약 23억 3597만원)

 

 

 

공격 받기 전 Omm의 순 잔고:
36,471,881 sICX (~$8.45M)
599,704 IUSDC
342,898 USDS
264,111 bnUSD
66,608 BALN (~$10K)
1,294,510 OMM (~$9K)

 

공격 받기 전 잔고를 금액으로 환산 = $ 968만 달러(약 119억 5480만원)

 

결과적으로 도난당한 자금은 Omm의 총 자금의 ~20%에 해당합니다.

 

 

 

 

해커가 자금을 훔친 후 취한 것으로 예상되는 행동들은 다음과 같습니다.

 

1. 737,407 sICX를 845,753 ICX로 스왑했습니다.
2. 264,214 bnUSD를 1,061,459 ICX로 스왑.

3. Bybit로 의심되는 거래소에 ~1,900,000 ICX 송금 / 판매.
4. ~650,000 ICX 매도, ~1,250,000 ICX 다른 거래소/마켓메이커로 전송.
5. 344,443 USDS를 43,328 IUSDC로 스왑.
6. 3,260,000 sICX를 325,754 IUSDC로 스왑.

7. 오르빗 체인을 통해 726,000 IUSDC를 이더리움과 폴리곤으로 전송. 또, 다른 242,000 IUSDC가 오르빗 브릿지에 멈춤.
8. TradeOgre로 의심되는 거래소에 해커의 ETH가 거래소의 ETH와 섞임

 

 

 

따라서, 도난당한 $1,900,000 달러 행방은 다음과 같습니다.

 

- 차익 거래자들(Arbitrageurs)에게 $775,000 (40%) 손실.
- $726,000 (38%) 가 이더리움/폴리곤으로 전송.
- $400,000 (21%) ICX는 거래소 지갑에서 보유 ($150,000 (8%)는 Bybit로 의심되는 거래소, $250,000(13%)는 OKX로 의심되는 거래소)

 

 

 

 

 

 

 

 

다음은 어떻게 진행 됩니까?


먼저, 이 힘든 시기에 Omm을 응원해주신 모든 분들께 감사드립니다. 이 공격은 많은 ICON 커뮤니티 회원들에게 부정적인 영향을 미쳤지만, 모두가 함께 사건을 조사하고 해커의 움직임을 추적하는 것을 보는 것은 좋았습니다. 여러분들의 도움이 없었다면 수사가 지금처럼 진행되지 못했을 것입니다.

 

Omm이 재개되는 데 얼마나 걸릴지 확실하지 않지만, 디스코드와 트위터를 통해 소통을 최신 상태로 유지할 것 입니다. 모든 스마트 컨트랙트가 중단되었기 때문에 대출자들은 그 사이 가격 변동으로 인해 청산될 위험은 없습니다.

 

 

 

스마트 컨트랙트 개발자는 공격의 영향을 최소화하고 피해를 평가하기 위해 쉬지 않고 노력해 왔으며 이제 Omm을 안전하게 온라인 상태로 전환하기 위해 수행해야 할 작업들을 검토하고 있습니다.

 

 

여기에는 Redeem 버그 수정 작업이 포함되며, 이 버그는 확인되어 곧 추진될 예정입니다. 수정 사항을 통해 컨트랙트는 준비금(Reserve) 주소가 Omm의 준비금의 일부인지 확인한 후 토큰 주소를 가져올 수 있게 됩니다.

 

 

Omm 기여자(개발자)들은 계속해서 오르빗 체인 및 다른 사람들과 협력하여 도난당한 자금을 최대한 회수할 것입니다. 우리는 여전히 해커가 활용한 거래소를 확인하려고 노력하고 있으며, 자금의 추가 이동을 막기 위해 모든 관련 지갑 주소에 플래그를 표시하는 과정에 있습니다.

 

회수할 수 있는 모든 자산은 Omm 복구 기금(Omm Recovery Fund)으로 모아 Omm 사용자의 손실을 줄이는 데 사용될 것입니다.

 

 

 

 

우리는 또한 이 차익 거래로부터 이익을 얻은 거래자들에게 전화를 걸고 있습니다.

이러한 수익은 Omm 공격으로 인한 극심한 변동성으로 인해 ICON DeFi 커뮤니티의 희생을 통해 얻게 된 것입니다.

 

귀하의 차익 거래 이익을 다음 주소로 기부하는 것을 고려해주세요: hx6d36daba20cf74d54ff6e863f7f6e0a2653ed8aa.

 

 

 

 

 

 

 

 

해커에게 보내는 메시지


다음 48시간 동안 우리는 이것이 화이트 햇 해커의 소행이라고 가정할 것입니다. 타이틀을 주장하고 추가 조치를 방지하기 위해, 당신은 훔친 자금을 자금을 아래 주소로 반환할 수 있습니다.

 

ICON: hx6d36daba20cf74d54ff6e863f7f6e0a2653ed8aa

이더리움: 0x0Bb7e89613d6520856D4DE6fF97E65D1329A0497

 

 

이 스마트 컨트랙트 결함을 우리에게 알려준 데 대한 10% 현상금을 뺀 값입니다.

 

트위터를 통해 Omm에 연락하거나 디스코드에서 초기 기여자에게 연락 할 수도 있습니다.

 

48시간이 지나면 악의적인 의도가 있다고 가정하고, 미국 법무부와 형사 당국에 알릴 것입니다.

 

 

 

 

출처: https://forum.omm.finance/t/omm-exploit-postmortem-january-2023

 

 

 

 

댓글 0개