뉴스

조회 수 134 추천 수 0 댓글 0
Extra Form
출처 https://www.fnnews.com/news/202106171229373950

임파서블 파이낸스 50만 달러 피해
5월 이후 9번째 BSC 계열 공격..피해금액 1억달러
초단기 대출 '플래시론' 악용 공통점 
디파이 투자 전 감사 여부 확인 필수

BSC 디파이 9번째 사기대출 공격...총 1200억원 피해

지난달 바이낸스 스마트 체인(BSC)을 사용하는 탈중앙금융(디파이, DeFi) 서비스에서 잇따라 시스템 취약점을 노린 사기대출(exploit) 공격 피해가 발생해 그 배경에 관심이 집중되고 있다./사진=fnDB


[파이낸셜뉴스] 세계 최대 가상자산 거래소 바이낸스가 운영하는 바이낸스 스마트 체인(BSC)을 사용하는 탈중앙금융(디파이, DeFi) 서비스에서 또 50만 달러(5억6590만원) 규모의 시스템 취약점을 노린 사기대출 공격(exploit) 공격 피해가 발생했다.

지난달 이후 BSC 계열 디파이 9곳에서 연달아 똑같은 피해가 발생해 총 피해 금액이 1억 달러를 넘어가고 있다. 업계에서는 개발자들의 코드 베끼기 관행과 불충분한 감사가 이같은 연쇄 피해의 배경으로 자리잡고 있다며 투자자들의 주의를 촉구했다.
 

임파서블 50만달러 피해 "지난달 버거스왑과 같은 공격"


가상자산 전문매체 디크립트는 21일(현지시간) 디파이 프로토콜 임파서블 파이낸스(Impossible Finance)가 플래시론을 사용한 시스템 취약점 공격을 당해 유동성 풀에서 50만달러가 유출됐다고 보도했다. BSC 계열 디파이에서 발생한 9번째 피해다.

보안 회사 워치플러그(WatchPlug)는 해커가 유동성 풀의 스마트 계약에 있는 취약점을 이용해 임파서블 파이낸스의 자체 토큰을 담보로 수차례 대출을 받아 플래시론 대출을 상환하는 방식으로 공격을 했다고 설명했다.
 

BSC 디파이 9번째 사기대출 공격...총 1200억원 피해

가상자산 전문매체 디크립트는 22일 디파이 프로토콜 임파서블 파이낸스(Impossible Finance)가 플래시론을 사용한 시스템 취약점 공격을 당해 유동성 풀에서 50만달러가 유출됐다고 보도했다. 스시스왑 핵심 개발자 무딧 굽타(Mudit Gupta)는 트위터를 통해 "이번 공격은 BSC 체인을 사용하고 있는 또 다른 디파이 프로토콜인 버거스왑에서 지난달 발생한 720만달러 규모의 취약점 공격과 똑같은 형태"라고 썼다. 무딧 굽타 트위터 캡쳐/사진=fnDB

 

스시스왑 핵심 개발자 무딧 굽타(Mudit Gupta)는 트위터를 통해 "이번 공격은 BSC 체인을 사용하고 있는 또 다른 디파이 프로토콜인 버거스왑에서 지난달 발생한 720만달러 규모의 취약점 공격과 똑같은 형태"라고 썼다.

임파서블 파이낸스팀은 텔레그램을 통해 "공격전 유동성 풀에 예치돼 있던 모든 자금을 보상할 것"이라며 "다른 커뮤니티의 화이트 해커들과 협력해 상황을 조사하고 자세한 상황 보고서를 제공할 것"이라고 말했다.
 

5월 한달간 BSC 계열 디파이 8곳 연쇄 취약점 공격..1억달러 피해


앞서 지난 5월 한달간 BSC 블록체인을 사용하는 디파이 서비스 가운데 8곳에서 피해가 발생했다. 최근 바이낸스 공식 블로그에 게시된 글에 따르면 피해금액은 1억332만달러(약 1165억원)에 달한다. 이 게시글은 BSC 커뮤니티 제작자 로간 디파이(Logan DeFi)가 작성했다.

첫 공격은 스파르탄 프로토콜이 대상이었다. 5월2일 발생해 3000만달러(약 338억원)의 피해가 발생했다. 스파르탄 프로토콜은 대출, 자산 스왑, 파생 상품 등을 서비스하는 디파이 서비스다. 5월19일 또 다른 디파이 서비스 팬케이크버니도 공격을 받아 4500만달러(약 507억원)의 피해가 발생했다. 이번 연쇄 공격 가운데 가장 피해규모가 크다.
 

BSC 디파이 서비스 취약점 공격 피해현황
(단위=달러)
이름 날짜 피해규모
스파르탄 프로토콜 5월2일 30,000,000
비언파이 5월17일 11,000,000
팬케이크버니 5월19일 45,000,000
보그드 파이낸스 5월23일 3,000,000
오토샤크 5월24일 820,000
쥬니스왑 5월27일 비공개
버거스왑 5월27일 7,200,000
벨트 파이낸스 5월29일 6,300,000
총 피해규모 103,320,000
(출처=바이낸스 블로그)


이후 수십~수백만달러 수준으로 피해 규모는 줄어들었지만 공격은 계속 이어졌다. 비언파이(5월17일, 1100만달러) 보그드 파이낸스(5월23일, 300만달러) 오토샤크(5월24일, 82만달러) 쥬니스왑(5월27일, 피해규모 비공개) 버거스왑(5월27일, 720만달러) 벨트 파이낸스(5월29일 630만달러) 등에서 피해가 발생했다.
 

초단기 대출 '플래시론' 악용 공통점

BSC 디파이 9번째 사기대출 공격...총 1200억원 피해

바이낸스 공식 블로그 게시글에 따르면 지난달 BSC에서 작동되는 디파이 서비스 가운데 8곳에서 시스템 취약점을 노린 사기대출 공격이 발생했다. 피해금액은 1억332만달러(약 1165억원)에 달한다. 이 게시글은 BSC 커뮤니티 제작자 로간 디파이(Logan DeFi)가 작성했다. /출처=바이낸스 블로그


이들 공격은 초단기 대출 플래시론(Flash loan)을 이용했다는 점이 공통적이다. 플래시론으로 마련한 자금력을 바탕으로 담보물이 되는 토큰 값을 순간적으로 끌어올리고, 급등한 가격을 바탕으로 거액의 대출을 받아내는 수법이다. 단순하고 쉽게 작동하는 디파이 시스템의 약점을 악용하는 것이다.

보그드 파이낸스에 대한 공격을 살펴보면, 공격자들은 보그드 자체 토큰 보그(BOG) 매수 주문을 대량으로 내는 것을 통해 시세를 끌어올렸고 그 틈을 타 11개의 BOG 담보 대출 거래를 성사시켰다. 대출된 1만1359 바이낸스코인(BNB)을 인출하는 것으로 공격은 마무리됐다. 피해금액 300만달러는 보그드 파이낸스 전체 유동성의 절반이다.

플래시론은 2020년 디파이 아베(AAVE)에서 처음 도입한 서비스로 대출 시간이 15초 이내로 짧은 대신 담보나 신용이 필요없고 적은 수수료로 큰 돈을 빌릴 수 있다. 로간 디파이는 "(플래시 론은) 공격자에게 프로토콜에 이미 존재하는 취약점을 악용할 수 있는 충분한 자금을 제공한다"고 썼다.
 

연쇄 공격은 '코드 베끼기' 관행 탓..감사 여부 확인해야


업계에서는 BSC를 사용하는 서비스들이 연쇄적으로 공격의 대상이 된 점에 주목할 필요가 있다고 보고 있다. 한 업계 관계자는 "한 서비스가 유행할 경우 빠르게 유사한 서비스를 내기 위해 코드를 참고하거나 심한 경우 베끼는 경우도 있다"며 "이 경우 한 서비스의 스마트 계약 코드에 있는 취약점이 다른 서비스로 그대로 이전될 수 있다"고 말했다.
 

BSC 디파이 9번째 사기대출 공격...총 1200억원 피해

업계에서는 BSC를 사용하는 서비스들이 연쇄적으로 공격의 대상이 된 점에 주목할 필요가 있다고 보고 있다. 한 업계 관계자는 "한 서비스가 유행할 경우 빠르게 유사한 서비스를 내기 위해 코드를 참고하거나 심한 경우 베끼는 경우도 있다"며 "이 경우 한 서비스에 있는 취약점이 다른 서비스로 이전될 수 있다"고 말했다./사진=뉴시스


한 디파이에서 취약점을 발견하고 보완을 하더라도 보완 이전 코드를 베낀 다른 서비스에는 여전히 취약점이 남아 있다는 점도 공격자들이 노리는 지점이다. 무딧 굽타는 임파서블 파이낸스에 대한 공격이 앞서 발생한 버거스왑 공격과 같은 형태인 점에 대해 "오리지널 프로젝트가 공격을 당했는데 왜 분기된 서비스가 대응을 안했나"고 질타했다.


이에 따라 투자자 입장에서는 디파이에 대한 취약점 공격이 발생했다는 소식을 듣게 될 경우 자신이 사용하고 있는 디파이와 같은 기술적 기반을 갖고 있는지 여부를 따져볼 필요가 있다고 전문가들은 충고했다.

디파이 투자 전 시스템에 허점이 있는지 여부를 살피는 감사(audit)가 제대로 진행되고 있는지 살펴보는 것도 필요하다. 로간 디파이는 "더 많은 감사원이 감사를 할 수록 플래시론 공격의 가능성은 적다고 말할 수 있다"며 "프로젝트는 보안을 최우선으로 해야하며 사용자와 자금을 보호할때 비용을 아끼지 않아야 한다"고 썼다.

?

List of Articles
제목 글쓴이 날짜 조회 수
디파이 DEX 개발 및 프로젝트 컨설팅 file 디파이판 2020.09.05 4720
(공지) [다쏜다~이벤트] 디파이판 글쓰기왕, 조회수왕 이벤트 디파이판 2020.09.24 45391
호가창 없는 코인 교환…나도 ‘스왑’해볼까 file 디파이판 2022.02.16 138
"털린 코인만 2조원 넘어"…범죄온상 된 '디파이' 뭐길래? file 디파이판 2022.02.15 107
저작권 권리 거래부터 펀드, NFT 발행..새로운 투자 트렌드로 부상 file 디파이판 2022.02.14 102
[글로벌] 암호화폐 해킹에 전 세계가 비상…분산금융 위험 ‘경종’ file 디파이판 2022.02.11 107
이더리움 확장팩…‘레이어2 코인’의 정체는 file 디파이판 2022.02.10 148
카카오가 그리는 메타버스·블록체인 생태계는? file 디파이판 2022.02.09 105
올해는 다오(DAO)의 해···생각만큼 되지 않는 3가지 이유 file 디파이판 2022.02.08 131
솔라나, 상금 60억원 해커톤 개최한다 file 디파이판 2022.02.07 105
디파이 서비스 '클레이스왑', 암호화폐 22억원어치 털렸다 file 디파이판 2022.02.04 107
영국 "디파이 금융 수익도 과세 가능" file 디파이판 2022.02.03 97
올림푸스 다오가 디파이 2.0이라 불리는 이유 file 디파이판 2022.01.28 124
암호화폐 이용한 돈 세탁, 지난해 30% 급증 file 디파이판 2022.01.27 109
비트코인 반토박에 '클레바' 5억달러 몰렸다...고수익 이자 코인 홀더 관심↑ file 디파이판 2022.01.26 105
[핀테크핫이슈] 금융 싱크탱크가 디파이·NFT 연구에 나선 까닭은? file 디파이판 2022.01.25 113
디파이 투자 주의보…클레이튼 기반 암호화폐 프로젝트 잇따라 먹튀 file 디파이판 2022.01.24 106
위메이드, 디파이 서비스 '클레바' 론칭..12시간 만에 예치금 2800억원 돌파 file 디파이판 2022.01.21 115
'탈중앙화 금융' 비전은 비현실적?..."적절한 견제와 균형 필요해" file 디파이판 2022.01.20 113
AR·VR 앞세운 메타버스 폭풍, 블록체인 금융·경영 혁신을 주목하라! file 디파이판 2022.01.19 110
이자 받고 더블로 가!…디파이 넌 뭐니 [알경] file 디파이판 2022.01.18 111
[코인 용어사전] 댑(Dapp) file 디파이판 2022.01.17 98
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 40 Next
/ 40
CLOSE
XE Login