외부 공격으로 SDK 파일 감염된 게 원인
사고 시점에 서비스 사용한 300여 명, 암호화폐 해커 지갑으로 전송
개발사 "불편 드려 죄송, 빠른 시일 내 보상안 마련"
예치 금액만 2조원이 넘는 디파이(탈중앙화 금융) 서비스 ‘클레이스왑’이 해킹 공격을 당해 22억원어치의 가상자산이 사라지는 사태가 벌어졌다.
클레이스왑은 카카오(035720)의 자회사인 그라운드X가 개발한 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 서비스다.
4일 클레이스왑 운영사인 오지스가 낸 사고 보고서에 따르면 전날 외부 해킹 공격으로 약 22억원에 달하는 가상자산이 특정 지갑으로 출금되는 피해를 입었다. 외부 네트워크망 공격으로 사용자의 정상적인 SDK 파일 요청이 카카오 서버가 아닌 해커 서버로 연결돼 악성코드가 다운로드된 게 원인이다.
사고 시점에 클레이스왑에서 스왑, 예치, 출금 등의 서비스를 사용한 300여 명은 암호화폐가 원하는 지갑이 아닌 해커 지갑으로 전송되고 말았다. 최초 사고 시점은 오전 11시 30분께로 파악된다. 오지스 측은 “현재 파악된 피해 규모는 약 22억원 상당의 가상자산”이라며 “총 325개 지갑에서 407개의 비정상적 트랜잭션이 발생된 것으로 파악된다”고 밝혔다.
오지스는 이번 사고를 파악한 후 추가적인 피해를 막기 위해 클레이스왑의 모든 기능을 차단하고 긴급 점검을 실행했다. 사고 원인으로 파악된 카카오 SDK 파일은 제거했다. 해커가 사용한 스마트 컨트랙트에 노출된 지갑 주소와 자산 목록을 모두 파악했으며, 정상화된 클레이스왑 사이트에서 문제가 된 컨트랙트에 승인된 자산 목록을 해제할 수 있도록 추가 개발을 마쳤다는 설명이다.
오지스는 이 사고로 발생한 피해를 최소화하고자 보상안을 마련할 계획이라고 밝혔다. 오지스 측은 “사용자 여러분께 심려와 불편함을 끼쳐드린 점에 대해 진심으로 사과의 말씀을 드린다”며 “빠른 시일 내 추가 공지를 통해 보상 시기와 방식에 대해 안내드리겠다”고 했다.
보안 전문가는 “디파이 회사들은 다루는 금액은 큰 반면 회사 자체는 스타트업이라 보안 인력이 적은 것이 현실”이라며 “해커들 입장에서는 전통 금융 회사에 비해 훔치기 쉽고 추적도 잘 안 되니 제일 좋은 타깃”이라고 했다.
[전문가칼럼] 디파이(DeFi), 미래 금융으로의 시작
대세 떠오른 NFT···게임업계, 블체 플랫폼 마련 ‘사활’
탈중앙화 거래소 원인치, iOS 모바일 지갑 출시…ETH·BSC 동시 지원 
NFT 금융자산 서비스 ‘NFTfi’, 89만 달러 규모 투자 유치 
그레이스케일, 와이언 파이낸스(YFI) 투자신탁 상품 등록 
프랑스 금융시장청 장관, 디파이 시장에 강한 관심 
유니스왑 사상 최고가.. 시장 정체 속 디파이 토큰 강세 
코빗, 디파이 전용 비트코인 'WBTC' 원화 거래 개시 
디파이 서비스 '클레이스왑', 암호화폐 22억원어치 털렸다 
[8월31일 뉴스리딩] 오늘은 신고가 랠리를 지속 중인 '솔라나(SOL)'를 알아봐요 
한국은행 "암호자산, 투자·투기수단으로 관심 지속...'디파이' 역할은 증대" 
[정부 보고서-디파이AtoZ] ③정부가 주도해 글로벌 표준 디파이 플랫폼 구축해야 
아이언뱅크, 플래시론 공격 노출.. 1.3만 ETH 피해 추정 
신한은행, 디지털자산 수탁 관리 사업 진출...국내 은행 중 두번째 
반에크, 비트코인 ETN 출시.. 독일 증권거래소 상장 
금융화하는 ‘대체불가토큰’…대안투자 수단 될까 
올해 디파이 해킹피해 급증...보안 투자 시급 
2020년 3분기, 중앙화거래소 보다 성장한 탈중앙화거래소(DEX) 
"코인 시총만 70조" 해외에서 빛난 '넷마블'...글로벌 P2E 최강자 노린다 
비트코인 반토박에 '클레바' 5억달러 몰렸다...고수익 이자 코인 홀더 관심↑ 
