타임라인

2026.01.20 12:40 - Exploit

• Curve pool chart - https://dexscreener.com/ethereum/0x32e616f4f17d43f9a5cd9be0e294727187064cb3
• https://app.blocksec.com/phalcon/explorer/tx/eth/0x569733b8016ef9418f0b6bde8c14224d9e759e79301499908ecbcd956a0651f5?line=1205
• 최초 공격 tx - https://etherscan.io/tx/0x569733b8016ef9418f0b6bde8c14224d9e759e79301499908ecbcd956a0651f5

  • How?

    • Flashloan 공격
      • 플래시론 (Flashloan): 담보 없이 하나의 트랜잭션(거래) 안에서 막대한 자금을 빌리고, 사용하고, 상환까지 완료하는 대출 방식. 상환하지 못하면 거래 자체가 무효화됨.
    1. Flashloan(Morpho/Aave)으로 280M USDC 차입
       • Morpho - 160M / Aave - 120M
    2. AMM balance 붕괴를 이용한 가격조작 실시
       • 공격 대상 풀 - DUSD/USDC, Curve:3 pool, Frax: MIM-3pool)

       1. DUSD/USDC pool에 100M치 USDC add liquidity

          • 당시 DUSD의 getSharedPrice로 산정된 값은 1.01

            

       2. 이후, 10M치 USDC ↔ 9.215M DUSD 스왑 진행

          

       3. 동시에, Curve: 3pool에 170M치 USDC 단일 유동성 공급

          • 이를 통해, 163M 3Crv LP token mint
          • 그 중, 30M 3Crv LP토큰을 Frax Finance: MIM-3LP3CRV-f pool(https://etherscan.io/address/0x5a6A4D54456819380173272A5E8E9B9904BdF41B)에 재투입

            • 이를 바탕으로 15M치 MIM withdraw // 120M 3Crv ↔ 37,742 MIM 스왑 진행, MIM-3Crv Pool 가격 조작

              

              • https://dexscreener.com/ethereum/0x5a6a4d54456819380173272a5e8e9b9904bdf41b

       4. 앞선 공격으로 인한 pool imbalance로 LP 토큰의 가치를 비정상적인 inflated value로 계산해 반환

          • (AMM의 알고리즘에 의해, 수량이 많아진 쪽은 가치가 폭락하고, 수량이 적어진 쪽은 가치가 폭등)
          • Frax Finance: MIM-3LP3CRV-f Token.calc_withdraw_one_coin()이 manipulated된 값을 반환

            • calc_withdraw_one_coin 함수

              • Curve나 Frax 같은 3-pool 기반 시스템에서, 사용자가 LP(유동성 공급) 토큰을 반납하고 "단 하나의 코인으로" 출금하려 할 때, 받을 수 있는 개수를 계산해 주는 함수

            • (금번 사례에서는 18,622,517,448,370,302,132,064,568 return = 18.6[18 decimals])

              = 18.6 달러로 폭등한 가치 적용 (정상값은 LP 토큰 1개당 1.0으로 페깅되어야 함)

       5. 최종적으로 스왑을 진행하기전, updateTotalAum을 호출해 앞선 비정상값을 프로토콜이 AUM으로 반영하게 함

          

          • AUM (Assets Under Management, 총 운용 자산): 프로토콜이 현재 보유하고 운용 중인 자산의 총 가치

       6. 앞서 스왑한 9.215M DUSD를 USDC로 스왑해, 9.215M DUSD ↔ 12.785M USDC로 한번의 스왑으로 2.78M USDC 가량을 차익거래로 실현

          

          • 스왑 진행할 때, MachineUtils.getSharePrice로 DUSD 가격을 반환할때, 앞서 updateTotalAum 를 호출해서 최종적으로 참조하는 lastTotalAum 이 manipulated된 값이 되었고, 해당 AUM값을 바탕으로 getSharePrice값을 계산하게 됨
            • $getSharePrice = (AUM/supply)$
            • 따라서, 앞선 과정으로 DUSD는 폭등한 AUM에 따라, 조작된 1.3 가량의 값으로 스왑이 진행되게 됨

       7. 1번 과정에 DUSD/USDC pool에 추가한 100M치 USDC add liquidity 다시 제거

       8. 1~7번을 한번 더 반복

          

       9. Flashloan으로 빌린 자금 상환

       • 최종적으로 Attacker 4.1M 가량 수익 실현

         • 기존 DUSDC/USDC 풀에는 USDC는 5.1M치가 존재했음

         

  • Why?

    • 일반적으로 디파이에서 오라클을 활용해 가격을 가져올 때, 가격 조작을 막기 위해 가격 정보는 TWAP(Time-Weighted Average Price, 시간 가중 평균 가격)을 쓰거나, 가격 업데이트에 Time delay를 걸어둔다던지 여러 가지 안전 장치를 마련해둠.
    • 하지만, DUSD의 경우 price anchor에 있어 동일 tx에 manipulate 가능한 구조였기에, flashloan attack이 성립할 수 있었음
      • updateTotalAum 함수가 permissionless하게 호출 가능했고, 트랜잭션 중간에도 실시간 spot price 기반으로 갱신이 가능했기에, 가격 평가의 기준이 되는 lastTotalAum 이 외부 공격에 의해 쉽게 변동될 수 있었음.
      • 외부 공격으로 인한 일시적인 불균형 가격을 진짜 가격으로 인식시킬 수 있었음.
    • getSharePrice 를 호출할때 마다 AUM을 계산하려면 외부 프로토콜들을 다 돌면서 calc_withdraw_one_coin 과 같은 함수를 호출해 AUM을 계산해야하는데, 수시로 push를 통해 값을 가져오면 이 과정에서 부담되는 가스비가 감당하기 어려움
      • 일반적으로 이런 push 구조는 체인 자체한테 보조금을 받거나 하는데, 시간가중치를 두고 일정 시간마다 쏴주거나 변화가중치를 둬서 일정 가격이상 변화되면 쏴준다고 함.
    • 따라서, lastTotalAum 로 캐싱된 값을 사용하게 하고, 탈중앙화로 해당 값을 자유롭게 updateTotalAum 를 pull 해 값을 갱신할 수 있게 해두어 문제가 발생.