[블록미디어 강주현 기자] 디파이(Defi·탈중앙화 금융) 이자농사 프로토콜 ‘하베스트 파이낸스’가 26일 해킹 당했다. 업체는 트위터를 통해 “투자자 보호를 위해 비트코인 볼트, 모든 스테이블코인 예치를 중단한다”고 밝혔다.
이날 하베스트 파이낸스, 커브, 와이언파이낸스 등 여러 디파이 플랫폼에서 30여 차례 트랜잭션이 발생했다. 하베스트 파이낸스 커뮤니티에서는 투자자들이 10~15%의 손실을 입었다고 밝혔다.
투자자들은 업체 측에 이유를 물었지만 하베스트 측은 즉각 답변하지 않고 일부 이용자를 커뮤니티에서 추방했다. 일부 투자자들은 하베스트 파이낸스와 커브가 해킹 책임을 지지 않고 서로에게 떠넘긴다고 비난했다. 약 1시간 뒤 하베스트 측은 해킹당한 사실을 인정하는 내용을 트위터에 올렸다.
해킹 소식이 알려지자 하베스트 파이낸스 자체 토큰인 FARM은 코인마켓캡에서 전일 대비 58.21% 하락한 10만원에 거래되고 있다. 체인뉴스에 따르면 하베스트 파이낸스 해킹 피해 금액은 약 2,300만 달러에 달한다.
트위터에 올라온 설명에 따르면 해커는 커브 y 풀을 이용해 하베스트 파이낸스의 비트코인 볼트 풀과 스테이블코인 풀을 공격했다. 해커는 대규모 플래시 론 공격을 펼쳐 fUSDT, fUSDC 가격을 여러 차례 조작해 인출했다. 인출한 코인을 renBTC와 비트코인으로 변환해 챙겼다. 하베스트 측은 “해커가 7분 간격으로 공격을 가해 대응할 시간이 없었다”고 해명했다. 여기서 플래시 론 공격은 대출 받은 암호화폐로 프로토콜 공격이나 조작을 진행해 추가 이득을 확보하고 즉시 담보를 갚는 방식으로 이뤄진다.
하베스트는 이후 비트코인 볼트, 스테이블코인 예치 중단을 검토한다고 밝혔다. 또 커브 자금을 이용해 해킹된 스테이블코인과 비트코인 볼트 물량을 채웠다. 업체는 다른 자금 풀은 해킹되지 않았다고 강조했다. 하베스트 파이낸스에 예치된 기존 자금은 하베스트 자체 암호화폐 FARM을 수확하는 데 그대로 사용된다. 뒤이어 하베스트 측은 해커가 해킹 자금 중 일부인 “247만 달러 규모의 USDC와 USDT를 돌려줬다”며 “이 금액은 피해를 입은 투자자들에게 일정 배율에 따라 배분할 것”이라고 말했다.
업체는 커브에서 자사 금고에서 모든 자금을 인출했고, 스테이블코인과 비트코인 예치금을 비활성화했다고 밝혔다. 기존 금고를 모두 안정화했다고 덧붙였다. 또 하베스트 파이낸스는 렌프로토콜과 함께 조사한 해킹 자금을 이체한 비트코인 주소를 트위터에 게시하고 해당 주소를 차단하기 위해 모든 거래소와 연락하겠다고 말했다. 하베스트 퍼아낸스는 이윽고 295BTC를 이체한 지갑 주소부터 시작해 해커들이 자금을 이동시킨 모든 비트코인 지갑 주소를 올렸다.
암호화폐 전문 매체 코인데스크에 따르면 이번 해킹은 디파이 분석가 크리스 블렉이 하베스트 파이낸스 관리자들이 프로토콜에 예치된 ‘자금을 빼낼 수 있는 관리자 키’를 보유하고 있다고 주장한 이후 일어났다. 코인데스크는 “현재까지는 이번 해킹과 관리자 키 배후에 있는 팀과의 상관관계는 확실하지 않다”며 “블렉은 기사 작성 시점까지 코인데스크의 질문에 답하지 않았다”고 말했다.
디파이 정보 사이트 디파이 펄스에 따르면 하베스트 파이낸스의 총 예치 자산(TVL)은 10억 달러에 달했으나 해킹 사고 이후 6억 7300만 달러까지 하락했다.