LI.FI 프로젝트의 보고서와 Daniel Von Fange의 트위터에 따르면, 2022년 3월 20일에 발생한 LI.FI 공격을 확인하였습니다. 이 취약점에 대한 상세한 기술적 분석이 없기 때문에, 아래에서 해당 공격을 추가적으로 분석합니다. 이 공격의 근본 원인은 **검증되지 않은 외부 호출(unchecked external call)**임을 발견하였습니다.
공격 트랜잭션
공격 과정을 설명하기 위해 공격 트랜잭션부터 시작하였습니다. 아래 스크린샷은 저희 트랜잭션 시각화 시스템의 결과를 보여줍니다.

위 그림에서 볼 수 있듯이, 전체 공격 과정은 매우 단순하며, 악성 스마트 컨트랙트 배포나 플래시론은 사용되지 않았습니다. 공격자가 수행한 유일한 단계는 CBridgeFacet 컨트랙트의 swapAndStartBridgeTokensViaCBridge(0x01c0a31a) 함수를 호출하는 것이었으며, 이를 통해 다양한 토큰(예: USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT, DAI 등)을 여러 승인자로부터 공격자가 제어하는 EOA로 전송하였습니다.
코드 분석
피해 로직 컨트랙트의 코드를 자세히 살펴보았습니다.


위 코드에 따르면, swapAndStartBridgeTokensViaCBridge는 소스 체인에서 크로스체인 트랜잭션의 진입점입니다.

LIFI 프로젝트는 스마트 라우팅(Smart Routing)이라는 이름으로 사용자에게 최적의 경로를 오프체인에서 찾아줄 수 있다고 주장합니다. 구체적으로, 프론트엔드 웹사이트가 최적의 경로를 계산하고 파라미터(스왑 컨트랙트 및 라우팅 경로 포함)를 swapAndStartBridgeTokensViaCBridge 함수의 파라미터로 인코딩합니다.
명백히, LIFI 프로젝트는 해당 함수가 블록체인 상의 임의 계정에 의해 호출될 수 있다는 점을 고려하지 않았습니다. 이 함수는 화이트리스트나 스왑 슬리피지와 같은 파라미터 검증을 전혀 수행하지 않기 때문입니다. 가장 심각한 문제는 CBridgeFacet 컨트랙트가 사용자에게 토큰 승인을 요구하며, 이로 인해 사용자의 자금이 위험에 노출된다는 점입니다.
피해 규모
결과적으로, 공격자는 CBridgeFacet 컨트랙트에 토큰을 승인한 LIFI 사용자들의 자금을 swapAndStartBridgeTokensViaCBridge 함수를 호출함으로써 탈취하였으며, 이 함수는 다시 여러 토큰의 transferFrom 함수를 호출하였습니다. 피해 통계는 아래 표에 나와 있습니다. 총 피해액은 약 $596K로, LIFI 프로젝트의 통계와 거의 일치합니다.
| 토큰 | 수량 | 가격 |
|---|---|---|
| GNO | 0.94 | 310.22 |
| USDC | 202,012.28 | 0.999655 |
| MATIC | 3,144.89 | 1.46 |
| AUDIO | 1,202.37 | 1.10 |
| AAVE | 8.99 | 149.99 |
| RPL | 44.86 | 31.2 |
| MVI | 22.95 | 131.82 |
| USDT | 368,745.29 | 1 |
| DAI | 8,421.49 | 0.999847 |
| JRT | 136,805.06 | 0.03789613 |
교훈
이 LIFI는 크로스체인 브리지 애그리게이터로, 피해 컨트랙트는 크로스체인 전송의 진입점입니다. 이 취약점은 이전 크로스체인 브리지 보안 사고에서 나타났던 복잡한 크로스체인 로직에 의한 것이 아닙니다. 대신, 이 공격의 근본 원인은 솔리디티의 상위 10대 일반적인 문제 중 하나인 검증되지 않은 외부 호출(unchecked external call)입니다.
DeFi 프로젝트가 점점 복잡해짐에 따라, 프로젝트 개발자들은 올바른 비즈니스 코드 작성 외에도 안전한 코드 작성에 더 많은 주의를 기울여야 합니다. 감사를 받지 않은 컨트랙트를 블록체인에 배포하지 않도록 강력히 권고합니다.
BlockSec 소개
BlockSec은 세계적으로 저명한 보안 전문가 그룹이 2021년에 설립한 선도적인 블록체인 보안 회사입니다. 이 회사는 대중적 채택을 촉진하기 위해 새롭게 부상하는 Web3 세계의 보안성과 사용성을 향상시키는 데 전념하고 있습니다. 이를 위해 BlockSec은 스마트 컨트랙트 및 EVM 체인 보안 감사 서비스, 보안 개발 및 능동적 위협 차단을 위한 Phalcon 플랫폼, 자금 추적 및 조사를 위한 MetaSleuth 플랫폼, 그리고 Web3 빌더들이 크립토 세계를 효율적으로 탐색할 수 있는 MetaDock 확장 프로그램을 제공합니다.
현재까지 MetaMask, Uniswap Foundation, Compound, Forta, PancakeSwap 등 300개 이상의 저명한 고객사에 서비스를 제공하였으며, Matrix Partners, Vitalbridge Capital, Fenbushi Capital 등 저명한 투자자들로부터 두 차례의 자금 조달을 통해 수천만 달러를 유치하였습니다.
공식 웹사이트: https://blocksec.com/
공식 트위터 계정: https://twitter.com/BlockSecTeam



