Rhea Finance는 공격 원인을 공개하며 슬리피지 보호 논리 결함으로 1840만 달러 손실이 발생했다고 전했다

RHEA Finance 공식 발표에 따르면, NEAR 생태계 대출 프로토콜 RHEA Finance(구 Burrow Finance)의 마진 거래 기능이 해커 공격을 받아 약 1840만 달러의 손실이 발생했습니다.

공격자는 사전 며칠 동안 준비를 시작했으며, Ref Finance에서 여러 개의 가짜 토큰 풀을 생성하고 유동성을 주입하여 악의적인 교환 경로를 구축했습니다. 이 과정에서 프로토콜 슬리피지 보호 메커니즘의 취약점을 이용했습니다. 이 메커니즘은 다단계 교환의 최소 출력을 계산할 때 중간 토큰이 반복 사용되는 경우를 고려하지 않았습니다. 이로 인해 대출된 채무 토큰이 공격자가 제어하는 가짜 토큰 풀로 유입되어 대규모 강제 청산이 발생했고, 결국 프로토콜의 준비금 풀이 고갈되었습니다. 공격 기간 동안 공격자는 55개의 중간 계정을 삭제하여 흔적을 감추었습니다. 현재 공격자는 RHEA 대출 계약에 약 335.9만 개의 USDC와 156.4만 개의 NEAR를 반환했으며, 434만 개의 USDT가 동결되었습니다(그중 Tether는 329.1만 개, NEAR Intents는 105.3만 개가 동결됨). 프로토콜 계약은 운영이 중단되었으며, 팀은 중앙화 거래소와 협력하여 추적 작업을 진행하고 있으며, 관련 법 집행 기관에 통보했습니다.