보안 서비스 제공업체 펙쉴드(PeckShield)의 모니터링에 따르면, 올해 1분기 디파이(DeFi) 분야의 41개 프로젝트에서 총 43건의 보안 사고가 발생했고 이로 인한 누적 손실이 5억 달러를 넘는 것으로 나타났다고 PAData가 3월 30일 보도했다.
시점으로 보면 1월의 6건을 제외하면 2월과 3월의 보안 사고 발생 빈도가 각각 19건과 18건으로 높았다. 이 가운데 크림 파이낸스(Cream.Finance)는 이더리움과 BSC상에서 각각 1건씩의 사고가 났고 프리머티브 파이낸스(Primitive Finance)도 2건의 보안 사고가 발생했다.
43건의 보안 사고 중 33건은 실제 손실이 발생했고 그 중 21건의 공격 당일 종가에 따른 구체적인 손실액만 총 5억 2,800만 달러로 집계됐다. 이는 작년 한해 동안 발생한 손실액의 약 2.23배에 달하는 수치다.
한편 3월 한 달에만 디파이 보안 사고로 입은 손실이 약 4억 1,400만 달러로 집계됐다. 지난 3월 2일, HBO는 토큰 생산 감소 테스트 실수로 500만 개의 코인을 LP풀로 이전하는 바람에 가격이 붕괴되면서 12달러이던 가격이 2달러로 폭락해 최소 2억 달러의 손실을 본 것으로 전해졌다.
3월 15일, 이더리움과 BSC상의 스테이블 코인 TSD(True Seigniorage Dollar)는 악의적인 공격자가 계정에서 TSD DAO를 사용해 118억 개의 TSD 토큰을 발행한 뒤 이를 팬케이크 스왑(Pancakeswap)에서 팔아치워 1억 7,200만 달러의 손실을 입었다. 이들 외에도 알파(Alpha), 크림(Cream), 미어캣(Meerkat), 푸루콤보(Furucombo), FILDA, HSO와 PAID Network도 보안 사고로 인해 각각 30만 달러 이상의 손실을 봤다.
지난해 보안 사고의 주된 원인은 프로토콜의 허점 때문이었는데 이로 인한 손실액은 약 1억 8백만 달러에 달했다. 라이트닝 대출과 중복 진입 공격이 주요 수법이었다. PAData의 분류에 따르면 올해 1분기에도 여전히 프로토콜의 허점을 이용한 공격이 주를 이뤘다. 이밖에 위조/사기, 먹튀, 악의적 거래/악의적 매도 등의 보안 사고도 빈발했다.
위조/사기와 악의적 거래/악의적 매도로 인한 손실도 1억 달러를 넘어 피해 규모가 컸다. 지난 2월 28일 보험 프로토콜 아모르 파이(Armour.Fi), 1월 20일 세들 파이낸스(Saddle Finance)가 그런 경우였다. 신생 퍼블릭 체인이 디파이 생태계 구축을 위해 노력하고 있지만 개발이 성숙되지 않아 빈번한 보안 사고에 노출되고 있으므로 투자자의 주의가 요구된다.
