[블록미디어 스탠리 최 기자] 탈중앙화 거래소인 커브 파이낸스(Curve Finance)의 스테이블 코인 풀이 오늘(31일) 새벽 해킹을 당해 누적 손실액이 최대 7000만 달러(한화 890억원 상당)에 이르는 것으로 추산되고 있다.
이와 관련해 적지 않은 디파이(DeFi) 프로토콜이 동시에 커다란 손실을 입었다. Alchemix, MetronomeDAO, JPEGd, deBridge, Ellipsis 등의 프로젝트는 속속 손실액과 관련 문제에 대한 처리방안을 발표하고 있는 상황이다.
커브 파이낸스는 이날 트위터를 통해 스마트 컨트랙트 프로그래밍 언어 바이퍼(Vyper) 0.2.15 버전에 존재하는 재진입 취약점이 노출돼 다수의 스테이블 코인 풀(alETH/msETH/pETH)이 공격을 받았다고 언급했다.
이번 공격의 영향으로 최근 0.73달러 선에 거래되던 커브 다오(Curve DAO)의 네이티브 토큰 CRV 가격은 한때 0.59달러까지 떨어졌고 코인마켓캡 기준 31일 오후 3시 20분 현재 0.65달러 선에 거래되고 있다.
한편 국내 주요 거래소 업비트, 빗썸, 코인원 등은 커브의 CRV 토큰 입출금을 일시 중지시켰고 코빗은 CRV 토큰을 투자 유의종목으로 변경했다.
# Alchemix : 5000 ETH 손실, alETH 마이너스 프리미엄
블록템포의 보도에 따르면 대출 프로토콜인 Alchemix는 오늘 아침 커브 파이낸스가 바이퍼(Vyper)의 취약점으로 인해 자사의 alteth/eth 풀이 공격받았을 수 있다는 점을 알려왔다는 트윗을 올렸다. 관련해 Alchemix는 “해당 취약점은 커브 풀의 컨트랙트에서 수행된 것으로 Alchemix 스마트 컨트랙트는 공격받지 않았으며 자금은 안전하다”고 밝혔다.
Alchemix는 자산 보호를 위해 두 번의 트랜잭션을 완료했는데, 우선 Convex에서 LP 토큰을 언스테이킹한 다음 Curve 풀에서 alteth를 회수했다. 이를 통해 커브에서 8,000 ETH를 회수하는 데는 성공했지만 커브의 alETH/ETH 풀은 복구하지 못해 결국 약 5,000 ETH가 손실되었다. 이밖에 alETH/ETH의 교환 비율은 1:1이어야 하지만 지금은 디패깅되면서 1:0.828로 떨어져 마이너스 프리미엄을 보이고 있다.
# MetronomeDAO : msETH-ETH 풀 공격받아
또 다른 디파이(DeFi) 합성 자산 프로토콜인 MetronomeDAO도 오늘 아침 트윗을 올리고 예방 조치로 Metronome의 메인넷 기능을 중단했으며, 손실을 최소화하기 위해 최선의 방안을 조사하고 있고 사건에 대해 설명할 것이라고 밝혔다.
Metronome다오는 “이번 사건은 여러 커브 풀의 취약점이 공격을 받은 것으로 msETH-ETH 풀도 공격받았으며 msETH-ETH 풀에서 유동 자금이 해킹당했다”고 언급했다.
다만 MetronomeDAO는 트윗에서 msUSD 거래 쌍의 유동성 공급자와 Velodrome에서 msETH를 사용하는 옵티미즘(Optimism) 사용자는 계약에 영향을 받지 않는다고 강조했다. 또한 MetronomeDAO의 모든 예금 및 오픈 포지션도 사건의 영향을 받지 않는다고 덧붙였다.
# JPEG’d : pETH-ETH 풀 해킹당했지만 컨트랙트는 해킹 면해
또 다른 피해 당사자인 NFT 대출 플랫폼 JPEG’d는 어제 밤 트위터를 통해 pETH-ETH 풀도 공격을 받았지만 NFT 대출을 위한 금고 계약은 안전하며 여전히 정상적으로 운영되고 있다고 밝혔다.
JPEG’d는 오늘 아침에 다시 트윗을 통해 “당초 발표한 바와 같이 컨트랙트는 해킹되지 않았고 안전하다”고 설명했다.
그러나 pETH/ETH 교환 비율은 1:1이 유지되어야 하는데 현재 1:0.457로 심각한 마이너스 프리미엄 상태이므로 투자자들의 주의가 필요하다.
같이 보면 좋은 기사
