안녕하세요, 밈 토큰 애호가 여러분! 블록체인과 암호화폐 세계에 깊이 관여하고 있다면 큰 보상에는 큰 위험이 따란 걸 알고 계실 겁니다. 최근 BlockSec의 Phalcon 도구가 BSC에 있는 BURN 토큰을 겨냥한 교묘한 익스플로잇을 경고했습니다. 이 사건으로 약 $150,000의 손실이 발생했는데, 모두 설계가 허술한 추천 보상 시스템 탓이었습니다. 무슨 일이 있었는지 단계별로 풀어 설명하니, 앞으로 비슷한 문제를 식별하는 데 도움이 될 겁니다.

BURN 토큰이란?

먼저 BURN에 대한 간단한 소개입니다. 2023년 말 @Burn_building 팀이 출시한 BURN은 BSC 상의 커뮤니티 주도 토큰으로 "Burn and Build" 모델을 따릅니다. 개념은 단순합니다: BURN을 보유하고 커뮤니티에 참여하면 토큰 소각과 개발 이니셔티브를 통해 생태계가 성장하길 지켜보는 거죠. 전형적인 밈 토큰 분위기—재미있고 참여적이며 탈중앙화를 목표로 합니다. 토큰 컨트랙트는 BSCScan에서 확인할 수 있습니다: https://bscscan.com/token/0x19c018e13cff682e729cc7b5fb68c8a641bf98a4.

그러나 많은 밈 토큰과 마찬가지로 보상 획득을 위한 staking과 락업 기능이 있었고, 바로 그 부분에서 문제가 터졌습니다.

익스플로잇: 사건 전말

Phalcon이 X에 올린 경고에 따르면 공격은 주소 0x93fd192e1cd288f1f5ee0a019429b015016061f9의 검증되지 않은 스마트 컨트랙트를 겨냥했습니다. 이 컨트랙트는 BURN 토큰의 staking과 락킹을 처리하며, 보상으로 달러에 연동된 스테이블코인 BUSD를 지급하도록 되어 있었습니다.

근본 원인? 보상이 BURN/BUSD 거래 쌍의 spot price를 기준으로 계산됐다는 점입니다. 유동성이 낮은 풀에서는 이 가격이 조작하기 매우 쉽습니다. 공격의 전개는 다음과 같습니다:

1. 추천을 통한 staking: 일반적으로 추천인을 통해 BURN을 stake하거나 잠그면, 스테이킹한 양과 현재 BURN/BUSD 가격에 따라 BUSD로 보상을 받습니다.

2. 플래시 론을 통한 가격 조작: 공격자는 flash loans(같은 트랜잭션 내에서 상환해야 하는 무담보 단기 대출)을 이용해 대량의 BURN을 빌려 일시적으로 BURN 가격을 띄웠습니다. 그런 다음 다수의 새 컨트랙트를 "사용자"로 만들어 주소당 하나의 추천 규칙이나 최대 투자 한도를 우회했습니다. 이를 통해 부풀려진 BUSD 보상을 대량으로 쌓을 수 있었습니다.

3. 던지고 수익 실현: 보상을 쌓은 뒤 공격자는 빌렸던 BURN을 매도해 가격을 폭락시켰습니다. 가격이 낮아진 상태에서 BUSD 보상을 청구해 싸게 BURN을 다시 사들이고 차익을 챙겼습니다.

결과는? 대략 $150K가 유출되었습니다. Phalcon은 게시물에 의심스러운 트랜잭션 중 하나를 공유했으니(세부사항은 링크된 경고 참조) 확인해 보시기 바랍니다.

전문가 의견과 교훈

스레드에는 @veritas_web3의 반응도 달렸습니다. 그들은 "보상을 위해 spot price를 사용하는 것은 알려진 취약점이다. 피할 수 있는 공격이었다"라고 지적했습니다. 정확한 지적입니다—오라클이나 time-weighted averages 같은 안전장치 없이 조작하기 쉬운 가격에 의존하는 것은 DeFi에서 재앙을 부르는 길입니다.

밈 토큰 제작자와 투자자 모두에게 이번 사건은 경종입니다. 특히 검증되지 않은 컨트랙트는 반드시 감사를 받게 하세요. Phalcon 같은 실시간 모니터링 툴도 활용하시고, 개발 중이라면 anti-flash-loan 조치나 더 안정적인 가격 피드 도입을 고려하세요.

밈 토큰 시장에서 안전하게 활동하기

이번 사고는 밈 토큰의 거친 환경에서 보안이 얼마나 중요한지를 잘 보여줍니다. Meme Insider에서는 여러분이 더 똑똑하게 시장을 헤쳐 나갈 수 있도록 정보를 제공하는 데 주력하고 있습니다. 이 익스플로잇에 대한 의견이나 안전한 밈 토큰 운영에 대한 팁이 있다면 댓글로 공유해 주세요!

항상 경계하시고, 즐거운 밈 활동 되세요! 🚀