디파이 대출 업체 오일러 파이낸스, 1억9500만 달러 해킹 피해

암호화폐 디파이(DeFi, 분산 금융) 대출 프로토콜 오일러 파이낸스(Euler Finance, Euler Labs)가 플래시론 공격으로 1억 9500만 달러( 약 2544억 원) 이상 해킹당했다.

암호화폐 전문매체 코인텔레그래프는 13일(현지시간) 오일러 파이낸스는 플래시론 공격에 악용되어 수억 개의 탈중앙화 스테이블코인과 합성 ERC-20 토큰을 탈취당했다고 보도했다.
'플래시론 공격((flash loan attack)'은 블록체인 내 블록 1개가 생성되는 시간 안에 무담보 대출 & 상환을 말한다. 플래시론 공격은 DeFi 프로토콜을 통해 스마트 컨트랙트를 이용해 플래시론을 취득하는 방식이다. 해커들은 빌린 자금을 이용해 동일한 거래에 상환을 시킨다. 스마트 컨트랙트 상에서 벌어지는 플래시론은 담보가 없고, 대출 상대방에 대한 KYC(고객 확인 제도)가 없어 고객의 신용을 확인할 수 없으며, 거래 한도가 없다는 점이 해킹에 악용될 수 있다.

이더리움 기반 비수탁 대출 프로토콜인 오일러 파이낸스는 13일 플래시론 공격을 받았다. 공격자는 수백만 개의 스테이블코인 다이(DAI), USD 코인(USDC)와 스테이킹된 이더리움(StETH), 랩핑된 비트코인(WBTC)을 훔쳐갔다.

온체인 데이터의 업데이트에 따르면 공격자는 여러 건의 거래를 수행해 약 1억 9600만 달러를 탈취했다. 현재 진행 중인 이 공격은 2023년 최대 규모의 해킹으로 기록됐다.

도난당한 자금의 상세한 내역은 아래 도표와 같다.

암호화폐 분석업체 메타 셀루스(Meta Seluth)에 따르면 이번 공격은 한 달 전 디플레이션 공격과 연관성이 있다고 한다. 공격자는 멀티체인 브리지를 사용해 바이낸스 스마트 체인(BSC)에서 이더리움으로 자금을 이체하고 13일 공격을 시작했다.

또 다른 저명한 온체인 분석가인 자크XBT(ZachXBT)는 자금 이동과 공격의 성격이 지난달 BSC 기반 프로토콜을 악용한 블랙햇(black hats, 악질 해커)과 매우 유사해 보인다고 거듭 강조했다. BSC 프로토콜을 공격한 후 자금은 암호화폐 믹서인 토네이도 캐시(Tornado Cash)에 입금됐다.

탈취된 자금은 현재 다음의 해커 주소에 보관되어 있다.

-0xebc29199c817dc47ba12e3f86102564d640cbf99 (컨트랙트) - 887만7507.34 DAI

-0xb2698c2d99ad2c302a95a8db26b08d17a77cedd4 - 8080.97 ETH

-0xb66cd966670d962c227b3eaba30a872dbfb995db - 8만8752.69 ETH & 3418만6225.91 DAI

오일러 파이낸스는 13일(혀지시간) 이번 공격을 인정하고 현재 보안 전문가 및 법 집행 기관과 협력해 문제를 해결하고 있다고 밝혔다.


블록체인 보안업체 슬로우미스트(Slowmist)가 이 공격을 자세히 분석한 결과, 공격자는 플래시론을 이용해 자금을 입금한 후 이를 두 차례에 걸쳐 레버리지해 청산을 유도한 것으로 나타났다. 공격자는 예약된 주소로 자금을 기부하고 남은 자산을 회수하기 위해 자체 청산을 수행했다.

이 익스플로잇의 성공에는 두 가지 요인이 있었다. 첫째, 자금이 유동성 검사를 거치지 않고 예약된 주소로 기부되어 소프트 청산이 촉발됐다. 둘째, 높은 레버리지로 인해 소프트 청산 로직이 작동해 청산자는 부채의 일부만 자신에게 이체함으로써 청산된 사용자의 계정에서 대부분의 담보 자금을 확보할 수 있었다.

블록체인 보안 회사 오픈제플린의 솔루션 개발자인 구스타보 곤잘레스는 인터뷰에서 이 모든 일이 에이브(AAVE)의 플래시론을 사용한 한 번의 거래(풀당 한 건)에서 일어났다고 말했다.

그는 "오일러 스마트 컨트랙트 중 하나에 'donateToReservers' 기능을 실행할 때 상태를 확인하지 않는 버그가 있는 것으로 보인다. 그 덕분에 공격자는 프로토콜을 청산하고 플래시론을 상환해 막대한 수익을 올릴 수 있었다"고 설명했다.

오일러 파이낸스는 작년에 FTX, 코인베이스, 점프, 제인 스트리트, 유니스왑 등이 참여한 펀딩 라운드에서 3200만 달러(약 418억 달러)를 모금했다.

오일러 파이낸스는 유동성 스테이킹 파생상품(LSD) 서비스로 큰 인기를 얻었다. LSD는 비교적 새로운 유형의 토큰으로, 스테이커가 이더(ETH)와 같은 스테이킹된 암호화폐의 유동성을 확보해 잠재적 수익을 늘릴 수 있다., 현재 LSD는 탈중앙화 금융 프로토콜에 총 가치의 최대 20%를 고정하고 있다.


김성은 글로벌이코노믹 기자 jade.kim@g-enews.com