12일에 DeFi(탈중앙화금융) 프로토콜 xToken이 공격을 받아 2,450만 달러 상당( 약 27억엔)의 손실이 발생했다. 이를 코인포스트가 13일 보도했다.
해커는 플래시론을 이용해 각종 토큰을 훔쳐 이미 이들 토큰을 대부분 매도했다.
「플래시론」이란, DeFi 특유의 기능으로, 블록체인에서 생성중인 블록에 하나의 트랜잭션이 들어와 최종 승인되기 전까지의 몇분 내외의 짧은 시간 동안 사용자에게 암호화폐를 대출해주고 상환하는 기술이다.
xToken은 xSNXa와 xBNTa 등 8개의 자체 토큰을 제공해 사용자가 DeFi로부터 이익을 얻는 것을 가능하게 하는 프로젝트다.
이들 토큰은 신세틱스(SNX) 뱅코르(BNT) 등의 DeFi 토큰을 이더리움 체인상에서 랩 토큰(원자산과 가격이 연결된 토큰) 형식으로 제공했다. 이용자는 이더리움의 생태계를 떠나지 않고 스테이킹 보상 등에 대해 원래 토큰과 똑같은 이익을 얻을 수 있다.
xToken의 공식 트위터 계정은 제1보로서 「랩 토큰 xSNXa와 xBNTa의 콘트랙트가 공격당했다. 유동성풀은 정지하고 있지만, 대부분의 SNX와 BNT는 xToken 컨트랙트 안에 아직 유지되고 있다 」 고 보고. 가능해지는 대로 본건에 대해 더욱 자세하게 알리겠다고 했다.
[해킹 수법]
해킹은 주로 두 가지 수법으로 이뤄지고 있다. 암호화폐 전문 미디어 더블록의 애널리스트 ‘Igor Igamberdiev’는 이번 공격에 대해 아래와 같이 분석했다.
우선 해커는 플래시론을 이용해 61,800 ETH(2억7,000만 달러)를 차입했다. 그들은 이더리움에 의해 프로토콜로 사용되고 있던 카이버 네트워크의 오라클(컨트랙트를 외부의 정보와 접속하는 구조)을 부정 조작하고, 대량의 xSNXa 토큰을 작성. 생성한 토큰을 판매해 이더리움이나 신세틱스로 대체했다.
또한 해커는 xBNTa 토큰의 컨트랙트에 대해 약점을 발견해 이것을 이용. 뱅코르와 연결된 토큰인 xBNTa를 작성하기 위해서는 본래 뱅코르 토큰만 사용할 수 있다. 그러나, xToken의 컨트랙트에는 이것을 체크할 수 없다고 하는 결함이 있었다. 이 때문에 해커는 다른 토큰을 사용해 xBNTa 토큰을 부정하게 작성해 매각한 것이다.
이렇게 부정취득된 토큰을 팔아 범인은 이미 합계 5,600 ETH(2,450만 달러(약 276.7억원) 상당)를 얻은 것으로 보고 있다.
[사용자 토큰 보상 계획]
Michael J. Cohen은 사건에 대해 공식 성명을 발표, 커뮤니티에 사과를 표명했으며 피해를 입은 사용자에게 토큰을 보상할 계획을 준비 중이라고 밝혔다.
또한 이번 공격을 막을 수 있었던 보안 기능을 앞으로 출시될 서비스에는 도입할 예정이었으나, 그 전에 해킹이 일어나면서 낙담한 것으로 알려졌다.해커가 남긴 흔적에 대해, 만약 무엇인가 정보가 있으면 알려 달라고도 호소했다.
플래시론을 노린 공격은 2020년 12월 워프 파이낸스(Warp Finance)에서도 발생했다.
