Back to Blog

파시클 파이낸스 보안 사고 분석

Code Auditing
August 4, 2021
3 min read

2021년 8월 4일, Popsicle Finance는 공격으로 인해 막대한 금전적 손실(2천만 달러 이상)을 입었습니다 [1]. 수동 분석 결과, 이것이 이중 청구(double-claiming) 공격임을 확인하였습니다. 즉, 보상 시스템의 허점으로 인해 공격자가 반복적으로 보상을 청구할 수 있었습니다. 이하에서는 공격 트랜잭션을 사용하여 공격 과정과 취약점의 근본 원인을 설명합니다.

배경

Popsicle Finance는 이더리움, BSC 등 다양한 체인을 위한 여러 볼트를 지원하는 수익 최적화 플랫폼입니다.

구체적으로, 사용자는 먼저 deposit 함수를 호출하여 유동성을 제공하고, Popsicle LP 토큰(PLP)을 받습니다. 그 후 Popsicle Finance는 사용자를 위해 수익을 창출하고자 유동성을 관리합니다(Uniswap과 같은 플랫폼과 상호작용). 사용자는 withdraw 함수를 호출하여 Popsicle Finance로부터 유동성을 돌려받을 수 있으며, 이 때 PLP 토큰을 기반으로 금액이 계산됩니다. 인센티브 보상은 유동성에서 발생하며, 시간이 지남에 따라 누적됩니다. 사용자는 collectFees 함수를 호출하여 보상을 청구할 수 있으며, 이것이 이번 공격의 핵심입니다.

취약점 분석

collectFees 함수에서는 사용자에 대한 token0Rewardtoken1Reward(해당 LP 토큰 쌍의 보상)가 계산됩니다. 전체 계산 로직은 간단합니다. 그러나 이 함수는 updateVault라는 modifier를 사용하며, 이는 보상을 적절히 업데이트하는 데 사용됩니다.

요약하면, updateVault는 다음을 수행합니다:

  1. 먼저 _earnFees 함수를 호출하여 풀에서 누적된 수수료를 가져옵니다;
  2. 그 다음 _tokenPerShare 함수를 호출하여 token0PerShareStoredtoken1PerShareStored를 업데이트합니다. 이는 각 지분에 대한 풀의 token0 및 token1 수량을 나타냅니다;
  3. 마지막으로 _fee0Earned_fee1Earned 함수를 호출하여 사용자의 보상(즉, 각각 token0Rewardstoken1Rewards)을 업데이트합니다.

_fee0Earned_fee1Earned 함수는 동일한 로직을 공유하며, 다음 공식을 구현합니다(token0을 예시로 사용):

user.token0Rewards += PLP.balanceOf(account) * (fee0PerShare - user.token0PerSharePaid) / 1e18

계산이 증분 방식임을 유의하십시오. 즉, 사용자가 PLP 토큰을 보유하지 않더라도 계산된 보상은 token0Rewards에 저장된 값을 유지합니다.

따라서 다음 두 가지 사실을 도출할 수 있습니다:

  1. 사용자의 보상은 token0Rewardstoken1Rewards에 저장되며, 이는 어떠한 PLP 토큰과도 연관되지 않습니다;
  2. collectFees 함수는 오직 token0Rewardstoken1Rewards의 상태에만 의존하므로, PLP 토큰을 보유하지 않아도 보상을 인출할 수 있습니다.

실제 상황에 비유하자면, 사용자가 은행에 돈을 예금하고 은행이 예금 증서를 발급하는 경우와 같습니다. 안타깝게도 이 증서는 위조 방지 기능도 없고, 사용자와 연결되어 있지도 않습니다. 이러한 경우, 증서를 복제하여 다른 사람들에게 배포함으로써 은행으로부터 이익을 취하는 것이 가능합니다.

공격 흐름

간략히 말하면, 공격자는 다음 단계를 통해 공격을 감행했습니다:

  1. 세 개의 컨트랙트를 생성했습니다. 그 중 하나는 공격 실행에 사용되었고, 나머지 두 개는 collectFees 함수를 호출하여 보상을 가져오는 데 사용되었습니다;
  2. 플래시 론(Flash Loan)을 활용하여 AAVE로부터 대량의 유동성을 차용했습니다;
  3. 입금-출금-수수료 청구(Deposit-Withdraw-CollectFees) 사이클을 실행하여 공격을 수행했습니다(총 8번의 사이클이 있었으며, Popsicle Finance의 여러 볼트에서 대량의 유동성이 인출되었습니다);
  4. 플래시 론을 AAVE에 상환하고, Tornado.Cash를 통해 수익을 세탁했습니다.

구체적으로, 입금-출금-수수료 청구(Deposit-Withdraw-CollectFees) 사이클은 여러 단계로 구성되어 있으며, 저희 온라인 도구 [2]를 사용하여 쉽게 레이블링하고 명확하게 요약할 수 있습니다:

수익 분석

공격자는 Popsicle Finance로부터 총 2천만 달러를 탈취했으며, 여기에는 2,560 WETH, 96.2 WBTC, 160K DAI, 539만 USDC, 498만 USDT, 10,500 UNI가 포함됩니다. 공격 후, 공격자는 Uniswap과 WETH를 통해 나머지 토큰을 모두 ETH로 교환한 후, Tornado.Cash를 이용하여 자금 세탁을 진행했습니다.

크레딧

Yufeng Hu, Ziling Lin, Junjie Fei, Lei Wu, Yajin Zhou @BlockSec

(성(last name) 기준 알파벳 순)

https://www.blocksecteam.com

Medium: https://blocksecteam.medium.com/

Twitter: https://twitter.com/BlockSecTeam

Contact: [email protected]

참고문헌

[1] https://twitter.com/defiprime/status/1422708265423556611

[2] https://tx.blocksecteam.com/

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit