BSC 디파이 9번째 사기대출 공격...총 1200억원 피해

      2021.06.22 12:42   수정 : 2021.06.22 12:42기사원문


[파이낸셜뉴스] 세계 최대 가상자산 거래소 바이낸스가 운영하는 바이낸스 스마트 체인(BSC)을 사용하는 탈중앙금융(디파이, DeFi) 서비스에서 또 50만 달러(5억6590만원) 규모의 시스템 취약점을 노린 사기대출 공격(exploit) 공격 피해가 발생했다.

지난달 이후 BSC 계열 디파이 9곳에서 연달아 똑같은 피해가 발생해 총 피해 금액이 1억 달러를 넘어가고 있다. 업계에서는 개발자들의 코드 베끼기 관행과 불충분한 감사가 이같은 연쇄 피해의 배경으로 자리잡고 있다며 투자자들의 주의를 촉구했다.



임파서블 50만달러 피해 "지난달 버거스왑과 같은 공격"

가상자산 전문매체 디크립트는 21일(현지시간) 디파이 프로토콜 임파서블 파이낸스(Impossible Finance)가 플래시론을 사용한 시스템 취약점 공격을 당해 유동성 풀에서 50만달러가 유출됐다고 보도했다. BSC 계열 디파이에서 발생한 9번째 피해다.


보안 회사 워치플러그(WatchPlug)는 해커가 유동성 풀의 스마트 계약에 있는 취약점을 이용해 임파서블 파이낸스의 자체 토큰을 담보로 수차례 대출을 받아 플래시론 대출을 상환하는 방식으로 공격을 했다고 설명했다.


스시스왑 핵심 개발자 무딧 굽타(Mudit Gupta)는 트위터를 통해 "이번 공격은 BSC 체인을 사용하고 있는 또 다른 디파이 프로토콜인 버거스왑에서 지난달 발생한 720만달러 규모의 취약점 공격과 똑같은 형태"라고 썼다.

임파서블 파이낸스팀은 텔레그램을 통해 "공격전 유동성 풀에 예치돼 있던 모든 자금을 보상할 것"이라며 "다른 커뮤니티의 화이트 해커들과 협력해 상황을 조사하고 자세한 상황 보고서를 제공할 것"이라고 말했다.

5월 한달간 BSC 계열 디파이 8곳 연쇄 취약점 공격..1억달러 피해

앞서 지난 5월 한달간 BSC 블록체인을 사용하는 디파이 서비스 가운데 8곳에서 피해가 발생했다. 최근 바이낸스 공식 블로그에 게시된 글에 따르면 피해금액은 1억332만달러(약 1165억원)에 달한다. 이 게시글은 BSC 커뮤니티 제작자 로간 디파이(Logan DeFi)가 작성했다.

첫 공격은 스파르탄 프로토콜이 대상이었다. 5월2일 발생해 3000만달러(약 338억원)의 피해가 발생했다. 스파르탄 프로토콜은 대출, 자산 스왑, 파생 상품 등을 서비스하는 디파이 서비스다. 5월19일 또 다른 디파이 서비스 팬케이크버니도 공격을 받아 4500만달러(약 507억원)의 피해가 발생했다. 이번 연쇄 공격 가운데 가장 피해규모가 크다.


이후 수십~수백만달러 수준으로 피해 규모는 줄어들었지만 공격은 계속 이어졌다. 비언파이(5월17일, 1100만달러) 보그드 파이낸스(5월23일, 300만달러) 오토샤크(5월24일, 82만달러) 쥬니스왑(5월27일, 피해규모 비공개) 버거스왑(5월27일, 720만달러) 벨트 파이낸스(5월29일 630만달러) 등에서 피해가 발생했다.

초단기 대출 '플래시론' 악용 공통점

이들 공격은 초단기 대출 플래시론(Flash loan)을 이용했다는 점이 공통적이다. 플래시론으로 마련한 자금력을 바탕으로 담보물이 되는 토큰 값을 순간적으로 끌어올리고, 급등한 가격을 바탕으로 거액의 대출을 받아내는 수법이다. 단순하고 쉽게 작동하는 디파이 시스템의 약점을 악용하는 것이다.

보그드 파이낸스에 대한 공격을 살펴보면, 공격자들은 보그드 자체 토큰 보그(BOG) 매수 주문을 대량으로 내는 것을 통해 시세를 끌어올렸고 그 틈을 타 11개의 BOG 담보 대출 거래를 성사시켰다. 대출된 1만1359 바이낸스코인(BNB)을 인출하는 것으로 공격은 마무리됐다. 피해금액 300만달러는 보그드 파이낸스 전체 유동성의 절반이다.

플래시론은 2020년 디파이 아베(AAVE)에서 처음 도입한 서비스로 대출 시간이 15초 이내로 짧은 대신 담보나 신용이 필요없고 적은 수수료로 큰 돈을 빌릴 수 있다. 로간 디파이는 "(플래시 론은) 공격자에게 프로토콜에 이미 존재하는 취약점을 악용할 수 있는 충분한 자금을 제공한다"고 썼다.

연쇄 공격은 '코드 베끼기' 관행 탓..감사 여부 확인해야

업계에서는 BSC를 사용하는 서비스들이 연쇄적으로 공격의 대상이 된 점에 주목할 필요가 있다고 보고 있다. 한 업계 관계자는 "한 서비스가 유행할 경우 빠르게 유사한 서비스를 내기 위해 코드를 참고하거나 심한 경우 베끼는 경우도 있다"며 "이 경우 한 서비스의 스마트 계약 코드에 있는 취약점이 다른 서비스로 그대로 이전될 수 있다"고 말했다.


한 디파이에서 취약점을 발견하고 보완을 하더라도 보완 이전 코드를 베낀 다른 서비스에는 여전히 취약점이 남아 있다는 점도 공격자들이 노리는 지점이다. 무딧 굽타는 임파서블 파이낸스에 대한 공격이 앞서 발생한 버거스왑 공격과 같은 형태인 점에 대해 "오리지널 프로젝트가 공격을 당했는데 왜 분기된 서비스가 대응을 안했나"고 질타했다.


이에 따라 투자자 입장에서는 디파이에 대한 취약점 공격이 발생했다는 소식을 듣게 될 경우 자신이 사용하고 있는 디파이와 같은 기술적 기반을 갖고 있는지 여부를 따져볼 필요가 있다고 전문가들은 충고했다.

디파이 투자 전 시스템에 허점이 있는지 여부를 살피는 감사(audit)가 제대로 진행되고 있는지 살펴보는 것도 필요하다.
로간 디파이는 "더 많은 감사원이 감사를 할 수록 플래시론 공격의 가능성은 적다고 말할 수 있다"며 "프로젝트는 보안을 최우선으로 해야하며 사용자와 자금을 보호할때 비용을 아끼지 않아야 한다"고 썼다.

bawu@fnnews.com 정영일 기자

Hot 포토

많이 본 뉴스