10월 16일, 스위스에 기반을 둔 디파이 프로토콜 타이퍼스 파이낸스(Typus Finance)는 보안 침해로 인해 약 1억 4천 3백 44만 달러의 손실을 입었습니다. 해당 프로젝트는 공식적으로 이 사건을 인정하고 조사에 도움을 준 SlowMist에 감사의 뜻을 표했습니다. 공격 시퀀스 분석: 이 익스플로잇은 오라클 업데이트 메커니즘의 치명적인 취약성에서 비롯되었습니다. 공격자는 typus_oracle/sources/oracle.move 컨트랙트의 update_v2 함수를 통해 가격 데이터를 조작했습니다. 보안 결함은 권한 유효성 검사 로직에 존재했습니다. UpdateAuthority 객체에 권한 화이트리스트가 포함되어 있었지만, 컨트랙트는 벡터::contains 함수 호출의 결과를 제대로 검증하지 못했습니다. 이로 인해 권한이 없는 사용자가 의도된 접근 제어 메커니즘에도 불구하고 오라클 가격을 수정할 수 있었습니다. 주요 공격 단계: 1. 가격 조작: 공격자는 update_v2를 호출하여 한 오라클 가격을 651,548,270으로, 다른 오라클 가격을 1로 설정하는 등 오라클 토큰의 인위적인 가격을 설정했습니다. 2. 차익 거래 실행: 공격자는 typus_perp/sources/tlp/lp_pool.move의 스왑 기능을 통해 조작된 가격을 악용했습니다. 이 거래 풀은 토큰 전환을 위해 일정한 제품 공식이 아닌 오라클 가격을 사용하여 공격자가 1 SUI를 60,000,000 XBTC(약 0.6 BTC)로 교환할 수 있도록 했습니다. 3. 반복적인 익스플로잇: 공격자는 10개의 개별 업데이트_v2 공격을 실행하고 크로스 체인 브리지를 통해 탈취한 자산을 빠르게 전송했습니다. 자금 추적: 미스트트랙 분석에 따르면 도난당한 총 자산은 588,357.9 SUI, 1,604,034.7 USDC, 0.6 xBTC, 32.227 suiETH 등 약 $344만 개에 달했습니다. 공격자는 다양한 탈중앙 금융 플랫폼을 통해 대부분의 자산을 USDC로 전환했으며, 14건의 거래에서 약 3,430,717 USDC를 Circle의 CCTP를 통해 이더리움 주소로 전송했습니다. 이후 이 자금은 Curve를 통해 3,430,241.91 DAI로 전환되어 새로운 주소로 옮겨졌습니다. 보안 권장 사항: 이 사건은 전형적인 오라클 조작 공격입니다. 이 취약점은 권한 확인을 검증하는 간단한 어서트 문을 구현하여 예방할 수 있었습니다. Sui 이동 권한 제어 특성: Solidity에 비해 Sui Move는 더 많은 기본 제공 및 필수 액세스 제어 기능을 통합합니다. 선형 유형 시스템을 갖춘 이 언어의 객체 지향 모델은 배타적 소유권을 적용하여 무단 수정을 방지합니다. ManagerCap과 같은 기능 객체를 적절히 구현하면 민감한 작업을 효과적으로 보호할 수 있습니다. 수이 무브의 강력한 보안 기반에도 불구하고 이 사례는 스마트 컨트랙트 개발에서 익스플로잇을 방지하려면 엄격한 코딩 관행과 포괄적인 보안 감사가 여전히 필수적이라는 것을 보여줍니다.