탈중앙화 분산형 거래소(DEX) 클리퍼(Clipper)가 최근 발생한 45만 달러 규모의 해킹 사건에 대해 출금 기능의 취약점 때문이라고 밝혔다. 일부에서 제기된 개인 키 유출 가능성은 부인했다.
출금 취약점 통한 공격…다른 유동성 풀은 안전 주장
클리퍼는 12월 1일 X(트위터)를 통해 이번 해킹이 출금 기능의 취약점을 악용한 공격으로 확인됐다고 발표했다. 이 공격은 두 개의 유동성 풀에서 약 6%의 총 잠금 가치를 탈취했으나, 다른 풀에는 영향을 미치지 않았다고 밝혔다.
클리퍼는 “일부가 개인 키 유출 가능성을 주장했지만, 이는 클리퍼의 설계와 보안 아키텍처와 일치하지 않는다”며 이를 강하게 부인했다.
이어 “단일 토큰 형태로 출금이 가능한 기능(스왑과 입출금 트랜잭션이 결합된 방식)이 비활성화됐다. 이 기능이 이번 공격에 악용된 것으로 보인다”고 설명했다.
API 취약점 의혹과 조치 계획
앞서 보안업체 퍼즐랜드(Fuzzland) 공동 창업자인 차오판 쇼우는 클리퍼가 “API 취약점(개인 키 유출 가능성 포함)”으로 해킹당했다고 주장했다. 그는 API가 공격자가 입출금 요청을 서명하고, 예치한 금액보다 많은 자금을 빼낼 수 있게 한 취약점을 가지고 있을 가능성을 제기했다.
Clipper Exchange @Clipper_DEX is hacked due to API vulnerability (like private key leak). $500K+ loss and $6.5M at risk right now. Withdraw immediately. pic.twitter.com/RLr76zM9zh
— Chaofan Shou (@shoucccc) December 1, 2024
이에 대해 클리퍼는 해당 사건에 대한 조사를 진행 중이며, 추가 업데이트를 약속했다. 현재 프로토콜의 스왑과 입금 기능은 일시 중단되었지만 출금은 가능하다. 다만 “출금은 가능하지만, 풀 내 모든 자산을 혼합한 형태로만 이뤄져야 한다”고 덧붙였다.
클리퍼는 도난된 자금을 추적하기 위한 작업을 시작했으며, 공격자와 소통을 희망한다고 밝혔다. 클리퍼 측은 “공격자 측이 혹시 대화를 원하면 연락을 달라”며 협상을 시도하는 메시지를 남겼다.
이뮤니파이(Immunefi) 보고서에 따르면, 이번 해킹으로 2024년 11월 말까지 탈취된 암호화폐 총액은 14억8000만 달러를 넘어섰다. 이는 지난해 같은 기간에 비해 15% 감소한 수치다. 이번 사건은 탈중앙화 금융(DeFi) 생태계의 보안 문제가 여전히 주요 과제로 남아 있음을 보여준다. 전문가들은 보안 취약점에 대한 선제적 대응과 더 강력한 보안 아키텍처 설계가 필요하다고 강조하고 있다.
같이 보면 좋은 기사
