슬로우미스트 "ONTR 토큰 취약점 공격…약 9만8000달러 피해"

블록체인 보안업체 슬로우미스트가 ONTR 토큰 컨트랙트 취약점 공격으로 약 9만8000달러 규모의 피해가 발생했다고 밝혔다.

29일 슬로우미스트는 엑스(X·옛 트위터)를 통해 ONTR 토큰 컨트랙트의 접근 제어 취약점이 공격에 악용됐다고 밝혔다. 피해 규모는 49.4801WETH로, 약 9만8315달러(약 1억3500만원)다.

슬로우미스트에 따르면 취약점은 ONTR 토큰 컨트랙트의 'onlyOwner' 제한자에서 발생했다. 소유자 주소가 영지갑(address(0))으로 설정된 경우, 임의의 주소가 권한 검사를 통과할 수 있는 구조였다는 설명이다.

공격자는 이를 이용해 소유권 이전 함수를 호출하고 공격자 컨트랙트를 소유자로 설정했다. 이후 숨겨진 잔액을 대기열에 추가한 뒤 특정 함수를 실행해 총공급량 증가 없이 주소 잔액을 직접 부풀린 것으로 분석됐다.

공격자는 이렇게 생성한 토큰을 팬케이크스왑 유동성 풀로 전송한 뒤 실제 WETH로 교환했다. 슬로우미스트는 이번 공격이 토큰 컨트랙트의 접근 제어 취약점을 이용해 잔액을 임의로 증가시키고, 정상 자동화마켓메이커(AMM) 유동성 풀에서 WETH를 탈취한 사례라고 설명했다.