Kyberswap 공격 분석

이 게시물은 Kyberswap의 2023년 11월 23일 발생한 $48M 손실 공격에 대해 분석합니다.

공격 개요

• 공격자는 Aave에서 플래시론을 이용해 유동성 풀을 조작
• frxETH와 WETH 간의 거래에서 가격 변동을 이용
• 계산 과정에서의 올림/내림 문제로 유동성 업데이트 실패

해결 방안

공격을 방지하기 위해 SwapMath.estimateIncrementalLiquidity의 내림 계산을 올림으로 변경하는 테스트가 필요하다고 강조합니다.