? 계속되는 디파이(DeFi) 해킹 공격, 이대로 괜찮을까?

By 뉴스레터팀   Posted: 2020-04-28
$%name%$님, DeFi를 향한 공격과 피해 규모가 날로 커지는데 이번엔 무슨 일이 일어났을까요?

$300,000 → $600,000 → $8,300,000$25,000,000

이 숫자는 올 한 해 디파이(DeFi) 서비스가 해커로부터 공격받아 발생한 피해 금액입니다. 지난 2월에 디파이 서비스 제공자 bZx가 두 차례 공격받았으며, 올해 3월에는 메이커다오에서 0원에 담보가 입찰 되는 ‘검은 목요일‘ 사건이 발생했습니다. 그리고 최근 디파이 서비스 업체인 유니스왑과 디포스(dForce)가 해커로부터 공격받아 각각 23만 달러와 2,500만 달러 피해가 발생했습니다.

2,500만 달러(약 300억원)는 디포스가 갖고 있던 자산의 99%에 해당되며 지금까지 발생한 디파이 공격 피해액 중에 손꼽히는 규모입니다. 왜 디파이에 이런 불미스러운 사건이 연달아 발생하는 것일까요? 오늘은 그 이유를 함께 살펴보겠습니다.
 
현재 보고있는 기사는 매일경제와 함께하는 블록체인 전문 미디어, 디스트리트에서 발행하는 뉴스레터 D.STREET WEEKLY 서비스 편입니다. 매주 블록체인과 암호화폐 관련 서비스, 제품 소식을 콕 집어서 전해드립니다. 그럼 시작해볼까요? ?
 
? 이번엔 디파이에 무슨 사건이?

사건 발생 직후 디포스 예치금이 증발했다
? 최근 디파이가 바람잘날이 없네. 이번엔 무슨 일이 일어난거야?

디포스는 Lendf.me 라는 랜딩 프로토콜을 운영하고 있습니다. 여기서 다양한 암호화폐를 빌리거나 예치하고 이자를 받죠. 문제는 예치 자산 중 imBTC 에서 발생했어요.

imBTC는 아임토큰이 주체가 되어 운영하는 암호화폐인데요. 쉽게 말해 이더리움에서 운용되는 비트코인입니다. 그런데 imBTC는 일부 이더리움 서비스와 호환 장애가 일어나는 코드 결함이 있었습니다.

이 허점을 알아낸 해커는 imBTC를 취급하는 디포스와 탈중앙화 거래소 유니스왑에서 출금을 반복적으로 실행했습니다. 결국 이 공격을 통해 유니스왑에서 23만 달러(약 3억 원), 디포스에서 2,500만 달러(약 300억  원)의 암호화폐를 탈취했습니다.

? 맙소사. 그럼 회사는 어떻게 되는거야?

놀랍게도 이 해커는 탈취한 금액을 디포스에 돌려줬습니다. “For your better future”라는 메시지와 함께 말이죠. 이렇게만 보면 해커가 디포스의 취약점을 알려주기 위한 의도로 공격을 감행한 “화이트 해커”가 아닌가 싶기도 합니다.

반환 이유에 대해서는 여러 가지 이야기가 있습니다. 훔친 데이터 전송 중 메타데이터가 노출되어 수사망이 좁혀질 것을 우려해 반환했다는 분석도 있고, 디포스와 해커가 이더리움 트랜잭션을 통해 연락을 취한 전황이 등장하면서 양측간 연락이 닿았을 가능성이 존재하기 때문에 공격자가 다른 이유로 금액을 반환했을 가능성도 있습니다. 이 부분은 디포스가 명확히 밝히지 않는 한 계속해서 의문으로 남겠지만 피해액을 되찾은 디포스 입장에선 정말 다행스러운 결과가 아닐 수 없겠죠?
 
? 그동안 발생한 디파이 공격 사건들은?

  • 2020년 2월 bZx 1차 피해 300,000 달러
  • 2020년 2월 bZx 2차 피해 600,000 달러
  • 2020년 3월 MakerDAO 피해 8,300,000 달러
  • 2020년 4월 Lendf.me 피해 25,000,000 달러

최근 발생한 디파이 공격 사건은 조금씩 차이가 있습니다. bZx 공격 사태는 외부에서 암호 화폐의 가격을 가져오는 오라클 시스템의 약점과 낮은 유동성을 이용한 공격이었습니다. MakerDAO 사건은 이더리움 가격 폭락과 트랜잭션의 과부하가 겹쳐진 틈을 이용한 공격이었고요.

그렇듯 디파이 공격은 매번 다른 식으로 발생하고 있습니다. 디파이 플랫폼이 많아지는 만큼, 허점도 많아지고 해커들 역시 점점 고도화되고 있음을 의미합니다. 디파이는 한 번 해킹이나 취약점 공격을 당하면 매우 큰 피해 금액이 발생할 수 있습니다. 시한폭탄처럼 불안한 디파이, 이대로 괜찮은 걸까요?
✅ 체크 포인트 : 디파이의 불안감을 해소하려면?

사실 이번 디포스 공격 사태는 사전에 막을 수 있었다는 의견도 존재합니다. 이전부터 몇몇 기관에서 imBTC의 취약성에 대해 지적한 사례가 있었기 때문입니다. 디포스 역시 이 사실을 알고 있었지만 별다른 조처를 하지 않았던 것으로 보입니다.

이처럼 디파이 같은 블록체인 금융 서비스는 주기적인 코드 검증(Audit)을 통해 해킹을 미리 예방할 수 있습니다. 대부분의 해킹은 코드가 취약한 부분이 공격받는 형식이기 때문에, 바운티와 전문 업체에 코드 검증을 맡기고 약한 부분을 보완하는 방법입니다.

하지만 디포스처럼 소유 플랫폼이 아닌 제삼자가 공격받을 가능성도 존재하고, 주기적으로 소모되는 비용 문제도 존재합니다. 또한 코드 검증이 100% 해킹을 예방해준다고 장담할 수도 없습니다. 결국 해커를 예방하기 위한 주기적인 검증, 해커를 추적하기 위한 온체인 분석 업체들의 협력, 사용자, 거래소 등 다양한 차원의 글로벌 협력이 지속할 때에야 디파이의 안전성을 확보할 수 있을 것입니다.
 
?? 아직 구독 전인가요? 아래 링크에서 구독 신청하면 이메일로 더 빠르게 보내드려요
 
*디스트리트 뉴스레터에서는 가능한 객관적인 정보를 전달하는 것을 목적으로 합니다. 본 뉴스레터에서 제공되는 모든 정보는 참고용이며, 암호화폐 투자에 대한 판단과 그에 따른 결과는 모두 구독자 개인에게 귀속됨에 유의해 주시기 바랍니다.