「DeFi를 위한 오픈 헤지 펀드」를 목표로 하는 새로운 DeFi(탈중앙화금융) 프로토콜 「ForceDAO」가 정식 출시 몇 시간 후에 해킹 공격을 받은 것이 밝혀졌다. 스마트 컨트랙트의 취약성을 노린 공격에 의해 최종적으로 183 ETH(업비트 기준 약 4.8억원)에 상당하는 FORCE 토큰이 피해를 받았다고 한다. 이를 코인포스트가 5일 보도했다.

ForceDAO는 사후 분석에서 영향을 받은 것은 FORCE를 스테이킹했을 때 받는 xFORCE 토큰으로 플랫폼상의 다른 자산의 안전은 확보되어 있었다고 주장했다. 유니스왑과 스시스왑의 Force, xForce, Force/ETH의 유동성풀이 피해를 입었으나 ForceDAO의 전략(Strategy)과 보관고(Vault), 보상금풀의 컨트랙트는 영향을 받지 않았다고 설명했다.

[뜻밖의 대규모 에어드롭 계획]

3월 15일에 퍼블릭 베타 버전이 출시된 ForceDAO의 팀은 프로젝트의 인지도 향상을 위해, 발행 상한의 4분의 1에 해당하는 합계 2500만 FORCE 토큰의 에어드롭을 4월 3일에 개시한 바 있다.

대상은 팀이 선택한 DeFi 프로토콜에 스테이킹 하고 있는 유저 등으로, 3주간에 걸쳐 실시될 예정이었다.(1기 대상 프로젝트는 Aave, Alchemix, Badger, Balancer, Curve, Maker DAO, Synthetix, Sushi, Vesper, Yearn)

그러나, 에어드롭 개시 후, 해커가 스마트 컨트랙트의 버그를 특정, 토큰을 획득하기 시작한다. 다행히 최초 버그를 발견한 화이트해커(선의의 해커)를 통해 약 1480만 FORCE는 네트워크에 반환돼 무사히 돌아갔다. 한편, 4명의 블랙해커(악의의 해커)이 같은 버그를 이용해 획득한 FORCE 토큰을 여러 거래소에서 이더리움으로 환전했다.

이후 Force DAO팀이 개입해 3명의 블랙해커 주소에 남아 있던 FORCE를 소각하는 데 성공한 것으로 알려졌다. 또한 ForceDAO팀은 화이트해커에게 감사를 표하며 포상금을 준비했다고 밝혔다.

[해킹 분석]

폴리매스 네트워크(Polymath Network)의 블록체인 리더 Mudit Gupta는 해킹의 원인을 다음과 같이 설명했다.

“FORCE 토큰은 송금자에게 충분한 잔고가 없는 등, 송금에 실패할 경우 송금 함수는 트랜잭션을 되돌리는 것이 아니라 ‘false’를 되돌려주도록 되어 있기 때문에, x FORCE 컨트랙트에서는 FORCE 토큰이 없어도 ‘입금(deposit)’ 함수를 호출할 수 있다.

 

이 때문에 xFORCE 컨트롤은 존재하지 않는 FORCE의 잠금에 실패했다고 해도 새로운 xFORCE를 발행한다. xFORCE를 입수 후에 ‘출금(with draw)’ 함수를 호출하고, xFORCE를 FORCE 토큰으로 교환할 수 있다.”

 

Gupta는 이 취약성은 이더리움의 코드인 Solidity에서는 이미 잘 알려져 있는 버그라고 해, Force DAO는 보안 전문가로부터의 감사를 받지 않은 것이 밝혀졌다고 지적했다.

Force DAO는 과실의 책임을 인정하고 있다. 현재, 보안 기업 2개사를 계약해, 모든 컨트랙트 시스템이 설계대로 동작하는지, 보고서의 재검토와 분석을 실시하고 있다고 설명. 향후 며칠 안에 스냅샷과 새로운 토큰을 이용해 다시 x FORCE의 출시를 실시할 것이라고 했다.