블록체인 보안감사업체인 버신의 보안리스크모니터링, 조기경보 및 차단플랫폼 모니터링에 따르면 2023년 4월 5일 디파이 렌딩 협약 정서 프로토콜이 공격을 받아 약 100만 달러의 손실을 입었다고 진세파이낸스가 보도했다. Beosin Trace는 0.5WBTC, 30 WETH, 538,399USDC, 360,000USDT를 도난당했으며 현재 대부분의 자금은 공격자의 주소에 남아 있습니다. 공격의 이유는 재진입으로 인한 가격 오류입니다. 공격 트랜잭션: https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d 이제 Beosin 보안 팀은 다음과 같은 분석 결과를 공유합니다. 1. 공격자는 먼저 Balancer Vault의 "joinPool" 기능을 호출하여 스테이킹합니다. 2. 그런 다음 "exitPool"을 호출하여 서약을 검색합니다. 이 과정에서 Balancer Vault는 공격자에게 eth를 보내 공격 계약의 폴백 기능을 호출합니다. 이 함수에서 공격자는 Balancer Vault.getPoolTokens()에서 반환된 데이터를 기반으로 가격을 계산해야 하는 0x62c5 계약의 차용 함수를 호출합니다. 현재 공격자의 "exitPool" 과정에서 풀의 총 공급이 감소했지만 데이터가 업데이트되지 않았으며 공격자는 이 데이터 오류를 사용하여 더 많은 자산을 빌려 이익을 얻습니다. 공격자는 4월 6일 8:00(UTC) 이전에 자산을 반환하면 $95,000를 보상으로 받게 되며 책임을 지지 않는다는 메시지를 받았습니다.