경영진 요약
SlowMist의 Cosine은 중요한 Pendle 토큰 보유자가 자체 생성한 onMorphoFlashLoan 계약의 익스플로잇으로 인해 130만 달러 이상의 손실을 입었다고 보고했습니다. 이 취약점은 악의적인 행위자가 AAVE 및 Pendle에서 사용자의 위임된 포지션을 조작할 수 있도록 하여, 분산 금융에서 맞춤형 배포에 대한 지속적인 보안 문제를 강조합니다.
사건 상세
이 사건은 130만 달러 이상을 잃은 저명한 Pendle 고래와 관련이 있습니다. 공격 벡터는 사용자가 직접 생성한 onMorphoFlashLoan 스마트 계약 내의 치명적인 취약점으로 확인되었습니다. 개방형 접근성으로 설계된 이 계약은 모든 외부 개체가 기능을 호출하는 것을 허용했습니다. 해커는 이 권한을 활용하여 무단 작업을 수행했으며, 특히 AAVE 및 Pendle 프로토콜 전반에 걸쳐 고래의 위임된 포지션을 조작했습니다. 이 익스플로잇은 개별 사용자가 엄격한 보안 감사 없이 맞춤형 스마트 계약을 배포할 때, 특히 확립된 DeFi 플랫폼과 상호 작용하는 계약의 경우 상당한 위험이 있음을 강조합니다.
금융 메커니즘 및 사업 전략
익스플로잇의 핵심은 onMorphoFlashLoan 계약 설계에 있었으며, SlowMist의 분석에 따르면 이 계약은 모든 주소에서 호출을 허용하도록 구성되었습니다. 이러한 잘못된 구성으로 인해 공격자는 접근 제어를 우회하고 고래의 위임된 자산과 상호 작용할 수 있었습니다. 관련된 특정 금융 상품이 AAVE 및 Pendle에서 사용자의 위임된 포지션이었지만, 근본적인 메커니즘은 보안이 취약한 맞춤형 스마트 계약의 남용이었습니다. Pendle Finance 팀은 철저한 조사 후 핵심 프로토콜 자금이 안전하게 유지되었음을 확인하여, 이 취약점을 프로토콜 수준의 침해와 구분했습니다. 그러나 별도의 사건으로 Pendle 위에 구축된 독립 프로토콜인 Penpie가 2,700만 달러의 스마트 계약 익스플로잇을 겪어 Lido Staked ETH (wstETH), Ethena의 sUSDe 및 Swell의 rswETH를 유출시켰습니다. 이러한 광범위한 맥락은 Web3 생태계 내에서 다양하고 상호 연결된 보안 문제를 더욱 강조합니다. 별도로, 이 기간 동안 PENDLE 토큰은 상당한 온체인 움직임을 보였으며, Arthur Hayes는 24% 가격 급등 이전에 159만 개의 PENDLE 토큰을 판매하여 129만 달러의 손실을 입었습니다. 이 사건은 익스플로잇과는 별개지만, 시장 변동성과 대규모 보유자의 영향력을 강조합니다.
시장 영향
이 사건은 DeFi 내에서 사용자가 배포한 스마트 계약 및 위임된 포지션 관리에 대한 강화된 보안 관행의 중요한 필요성을 다시금 강조합니다. 특히 AAVE 및 Pendle과 같은 핵심 프로토콜과 상호 작용하는 맞춤형 계약 감사 및 부여된 권한에 대한 정밀 조사가 증가할 것으로 예상됩니다. 더 넓은 시장 영향으로는 확립된 프로토콜이 보안을 유지하더라도 개인 또는 소규모 팀이 개발한 계약에 대한 신중한 정서가 포함됩니다. EIP-7702와 같은 위임된 메커니즘의 정교한 사회 공학 공격 및 취약점 증가는 계속해서 위험을 초래하며, Web3 생태계는 2025년 상반기에 43,628개 피해자 주소에서 3,973만 달러의 피싱 손실에 직면했습니다. 이 사건은 2025년 9월 현재 전 세계적으로 블록체인 해킹 사건으로 인한 총 손실이 366억 3,300만 달러에 달하는 DeFi 공간의 전반적인 보안 상태에 대한 증가하는 우려에 기여합니다.
전문가 논평
저명한 블록체인 보안 전문가인 SlowMist의 Cosine은 익스플로잇을 자세히 설명하며, 취약점이 사용자가 직접 생성한 계약에 있음을 강조했습니다. Cosine은 Web3 생태계의
Edgen Crypto·Oct 02 2025, 03:13