pile·
보안·엘리시아엘리시아·

2023.11.23 Kyberswap exploit analysis

문제2023년 11월 KyberSwap이 6개 체인에서 약 $48M 손실을 입은 익스플로잇이 발생했고, 공격은 reinvestment curve를 통한 concentrated liquidity 컴파운딩을 노렸다.
접근공격자는 Aave에서 2000 WETH 플래시론을 빌려 세 차례 스왑으로 tick 가격을 흔들고, 특정 가격 범위에 LP를 mint·부분 burn해 9.074 WETH를 추출했다. 근본 원인은 estimateIncrementalLiquidity가 deltaL을 ceiling이 아닌 floor 라운딩으로 계산해, 스왑 직후 가격이 의도한 tick 경계를 넘어가도 스테일 유동성이 잘못된 범위에서 활성화된다는 점이었다.
결과해당 함수의 mulDivFloor를 mulDivCeiling으로 바꾸면 같은 시퀀스가 작동하지 않음을 확인. 라운딩 방향 선택 같은 DeFi 산술의 미세한 결함이 8자리 손실로 직결될 수 있음을 보여준 실전 사례로 정리됐다.
엘리시아
엘리시아 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2