[블록미디어 강주현 기자] ‘플래시 론’을 이용한 디파이(Defi, 탈중앙 금융) 프로젝트 해킹 사고가 기승을 부리고 있다. 플래시 론은 대출 받은 암호화폐로 디파이 서비스를 공격하거나 조작해 이득을 확보하고 즉시 담보를 되갚는 공격을 뜻한다.
◆ 치즈뱅크 등 ‘플래시 론’ 이용한 해킹 공격 이어져
16일(현지시간) 암호화폐 전문 매체 코인텔레그래프는 지난 6일 이더리움 기반 디파이 플랫폼 ‘치즈 뱅크’가 해킹을 당해 330만 달러의 손실을 입었다고 보도했다.
해커들은 ‘플래시 론’을 통해 USD 코인, 테더, 다이 등 스테이블코인을 훔쳤다. 블록체인 보안 업체 펙실드에 따르면 해커들은 AMM(자동화된 마켓 메이커) 기반 오라클에서 자산 가격을 측정하는 시스템에 버그를 일으켜 해킹했다.
블록체인 보안 업체 펙실드는 블로그 게시물을 통해 “벨류 디파이와 아크로폴리스 등도 유사한 방법으로 해킹당했다”고 말했다. 이어 “해커들은 악의적으로 플래시 론을 사용해 순식간에 많은 토큰을 빌려 거래하고, 입금한 뒤 다시 빌려 유니스왑, 커브 등 특정 거래소에서 토큰 가격을 인위적으로 조작한다”고 밝혔다.
벨류 디파이는 치즈 뱅크와 유사하게 600만 달러 상당의 USD코인, 테더, 다이 등의 스테이블코인을 해킹 당했다. 아크로폴리스는 지난 13일 200만 달러 이상의 스테이블코인을 탈취당했다. 아크로폴리스는 트위터를 통해 “해커들이 커브 Y와 커브 sUSD 저금 풀’에서 203만 개가 넘는 다이를 훔쳐 자신들의 지갑주소로 옮겼다”고 말했다.
◆ 오리진 프로토콜도 ‘플래시 론’에 당했다
오리진 프로토콜의 디파이 거버넌스 토큰 OUSD 역시 플래시 론 공격을 통해 해킹을 당했다. 오리진 프로토콜에 따르면 해커들은 누락된 유효성 검사 감사를 이용해 가짜 스테이블 코인을 유통했다. 해커는 OUSD로 자금을 이동했고, OUSD 공급량이 증가하기 전에 리베이스(재생성)을 진행했다. 다음으로 해커는 OUSD 공급량을 직접 늘렸다. 해커는 대부분의 스테이블코인을 출금했고, 추가로 OUSD를 인출해 유니스왑과 스시스왑 등 탈중앙화 거래소에서 코인을 판매했다.
오리진 프로토콜은 “현재 가격은 OUSD 기본 자산을 반영한 가격이 아니기 때문에 유니스왑이나 스시스왑에서 OUSD를 구입하지 말라”고 당부했다. 매튜 리우 오리진 프로토콜 대표는 “OUSD 해킹으로 인한 피해 금액은 700만 달러”라고 밝혔다. 피해금 중엔 그를 포함한 오리진 프로토콜 팀원 예치금 100만 달러가 포함되어 있다. 그는 “팀 차원에서 문제 파악 및 자금 회수에 총력을 다하고 있다”고 말했다.
리우 대표는 “이번 사건과 상관없이 OUSD 팀은 계속해서 프로젝트를 진행할 생각”이라며 “계속해서 제기되는 사기, 내부 자작극은 사실이 아니다”라고 자작극이 아니냐는 의혹에 대해 강하게 부정했다.
◆ “자작극?”…늘어나는 디파이 해킹 사고
암호화폐 언플루언서 타로핀은 “올해 3월 BZRX가 플래시론 공격을 처음 당한 후 8개월이 지났지만 플래시 론 공격은 매일 터지고 있다”며 “이쯤 되면 드는 생각은 한 가지이다. 프로젝트가 일부러 허점을 놔두고 해킹으로 예치금을 털어 먹는 것”이라고 말했다. 그는 “특히 담보 없는 스테이블코인이라면서 스캠 코인을 만든 곳이라면 더더욱 의심이 간다”고 덧붙였다.
암호화폐 분석 업체 사이퍼 트레이스에 따르면 지난해 디파이 프로토콜 해킹은 ‘무시할 수 있는 수준’이었지만 올해는 전체 암호화폐 해킹 사고의 20%를 차지할 정도로 늘어났다.