Back to Blog

LI.FI 공격: 크로스체인 브리지 취약점? 아니다, 검증되지 않은 외부 호출이 원인!

Code Auditing
March 21, 2022
3 min read

LI.FI 프로젝트의 보고서와 Daniel Von Fange의 트위터에 따르면, 2022년 3월 20일에 발생한 LI.FI 공격을 확인하였습니다. 이 취약점에 대한 상세한 기술적 분석이 없기 때문에, 아래에서 해당 공격을 추가적으로 분석합니다. 이 공격의 근본 원인은 **검증되지 않은 외부 호출(unchecked external call)**임을 발견하였습니다.

공격 트랜잭션

공격 과정을 설명하기 위해 공격 트랜잭션부터 시작하였습니다. 아래 스크린샷은 저희 트랜잭션 시각화 시스템의 결과를 보여줍니다.

위 그림에서 볼 수 있듯이, 전체 공격 과정은 매우 단순하며, 악성 스마트 컨트랙트 배포나 플래시론은 사용되지 않았습니다. 공격자가 수행한 유일한 단계는 CBridgeFacet 컨트랙트swapAndStartBridgeTokensViaCBridge(0x01c0a31a) 함수를 호출하는 것이었으며, 이를 통해 다양한 토큰(예: USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT, DAI 등)을 여러 승인자로부터 공격자가 제어하는 EOA로 전송하였습니다.

코드 분석

피해 로직 컨트랙트의 코드를 자세히 살펴보았습니다.

의 코드
의 코드
의 코드
의 코드

위 코드에 따르면, swapAndStartBridgeTokensViaCBridge는 소스 체인에서 크로스체인 트랜잭션의 진입점입니다.

LIFI 프로젝트는 스마트 라우팅(Smart Routing)이라는 이름으로 사용자에게 최적의 경로를 오프체인에서 찾아줄 수 있다고 주장합니다. 구체적으로, 프론트엔드 웹사이트가 최적의 경로를 계산하고 파라미터(스왑 컨트랙트 및 라우팅 경로 포함)를 swapAndStartBridgeTokensViaCBridge 함수의 파라미터로 인코딩합니다.

명백히, LIFI 프로젝트는 해당 함수가 블록체인 상의 임의 계정에 의해 호출될 수 있다는 점을 고려하지 않았습니다. 이 함수는 화이트리스트나 스왑 슬리피지와 같은 파라미터 검증을 전혀 수행하지 않기 때문입니다. 가장 심각한 문제는 CBridgeFacet 컨트랙트가 사용자에게 토큰 승인을 요구하며, 이로 인해 사용자의 자금이 위험에 노출된다는 점입니다.

피해 규모

결과적으로, 공격자는 CBridgeFacet 컨트랙트에 토큰을 승인한 LIFI 사용자들의 자금을 swapAndStartBridgeTokensViaCBridge 함수를 호출함으로써 탈취하였으며, 이 함수는 다시 여러 토큰의 transferFrom 함수를 호출하였습니다. 피해 통계는 아래 표에 나와 있습니다. 총 피해액은 약 $596K로, LIFI 프로젝트의 통계와 거의 일치합니다.

토큰 수량 가격
GNO 0.94 310.22
USDC 202,012.28 0.999655
MATIC 3,144.89 1.46
AUDIO 1,202.37 1.10
AAVE 8.99 149.99
RPL 44.86 31.2
MVI 22.95 131.82
USDT 368,745.29 1
DAI 8,421.49 0.999847
JRT 136,805.06 0.03789613

교훈

이 LIFI는 크로스체인 브리지 애그리게이터로, 피해 컨트랙트는 크로스체인 전송의 진입점입니다. 이 취약점은 이전 크로스체인 브리지 보안 사고에서 나타났던 복잡한 크로스체인 로직에 의한 것이 아닙니다. 대신, 이 공격의 근본 원인은 솔리디티의 상위 10대 일반적인 문제 중 하나인 검증되지 않은 외부 호출(unchecked external call)입니다.

DeFi 프로젝트가 점점 복잡해짐에 따라, 프로젝트 개발자들은 올바른 비즈니스 코드 작성 외에도 안전한 코드 작성에 더 많은 주의를 기울여야 합니다. 감사를 받지 않은 컨트랙트를 블록체인에 배포하지 않도록 강력히 권고합니다.

BlockSec 소개

BlockSec은 세계적으로 저명한 보안 전문가 그룹이 2021년에 설립한 선도적인 블록체인 보안 회사입니다. 이 회사는 대중적 채택을 촉진하기 위해 새롭게 부상하는 Web3 세계의 보안성과 사용성을 향상시키는 데 전념하고 있습니다. 이를 위해 BlockSec은 스마트 컨트랙트 및 EVM 체인 보안 감사 서비스, 보안 개발 및 능동적 위협 차단을 위한 Phalcon 플랫폼, 자금 추적 및 조사를 위한 MetaSleuth 플랫폼, 그리고 Web3 빌더들이 크립토 세계를 효율적으로 탐색할 수 있는 MetaDock 확장 프로그램을 제공합니다.

현재까지 MetaMask, Uniswap Foundation, Compound, Forta, PancakeSwap 등 300개 이상의 저명한 고객사에 서비스를 제공하였으며, Matrix Partners, Vitalbridge Capital, Fenbushi Capital 등 저명한 투자자들로부터 두 차례의 자금 조달을 통해 수천만 달러를 유치하였습니다.

공식 웹사이트: https://blocksec.com/

공식 트위터 계정: https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit