[주간 블록체인] 웜홀‧클레이스왑도 당했다?…‘디파이 해킹’의 거의 모든 것
[디지털데일리 박현영기자] 한 주간 블록체인‧가상자산 업계 소식을 소개하는 ‘주간 블록체인’입니다.
이번주는 탈중앙화 금융(De-fi, 디파이) 서비스들의 수난시대였습니다. 우선 솔라나의 브릿지 솔루션 ‘웜홀(Wormhole)’이 무려 3900억원치 가상자산을 탈취당했습니다. 올해 들어 발생한 디파이 해킹 피해 규모 중엔 가장 크고, 지금까지 발생한 디파이 피해 규모 중에서도 두 번째로 큽니다.
국내 디파이 서비스도 예외는 아니었습니다. 국내 디파이 프로젝트 중 가장 대중적으로 많이 알려져있는 ‘클레이스왑(Klay)’이 해킹을 당했는데요. 탈취당한 가상자산은 약 22억원어치입니다.
솔라나 웜홀에 비해선 피해 규모가 작지만, 클레이스왑은 카카오의 퍼블릭 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 디파이 서비스 중 가장 유명합니다. 클레이튼의 기축통화 클레이(KLAY)에 투자한 투자자들이 많은 만큼, 클레이스왑을 사용하는 국내 투자자들도 그만큼 많습니다. 때문에 국내에서는 어느 정도 파장이 일 것으로 보입니다.
디파이 서비스들은 유독 해킹에 취약한 경우가 많죠. 디파이 서비스들이 발전하면서 그에 맞춰 해킹 수법도 다양화되고 있는데요.
이번주 <주간 블록체인>에서는 디파이가 해킹에 취약한 이유와 함께 이번 웜홀 및 클레이스왑 해킹에 쓰인 수법을 알아보겠습니다. 또 해킹 수법이 어떻게 다양화되고 있는지, 디파이 사용자들은 무엇을 눈여겨봐야 하는지 함께 살펴보겠습니다.
◆디파이, 왜 유독 해킹에 취약할까
디파이는 블록체인 상 스마트컨트랙트로 구동되는 금융 서비스를 말합니다. 가상자산을 거래하거나 예치해서 이자를 받는 일련의 과정들이 모두 스마트컨트랙트에 의해 자동으로 이루어지는 것이죠. 탈중앙화거래소(DEX)나 대출, 즉 랜딩(Lending) 서비스 등은 모두 디파이의 한 종류입니다.
스마트컨트랙트를 기반으로 하므로 디파이 서비스에선 사용자의 신용도를 검증할 필요가 없습니다. 또 중개기관이 없는 만큼 가상자산을 예치할 경우 더욱 높은 이자율을 보장합니다. 중개기관에게 가던 비용이 사용자에게 갈 수 있기 때문입니다. 이자율도 특정 기업이나 플랫폼이 결정하는 게 아니라 사용자들이 얼마나, 어떻게 이용하는지에 따라 자동으로 조절됩니다.
이 같은 장점 덕분에 지난 2020년부터 디파이 시장은 폭발적으로 성장했습니다. 이더리움, 솔라나, 테라 같은 블록체인 플랫폼 프로젝트의 경우, 해당 플랫폼을 기반으로 하는 디파이 예치금 규모가 프로젝트의 성패를 좌우하기도 했고요.
그러나 세상에 장점만 있는 건 존재하지 않나 봅니다. 스마트컨트랙트로 구동되는 것은 장점이자 단점이기도 했습니다.
스마트컨트랙트, 즉 코드로 구동되는 것이므로 코드에 보안 취약점이 있으면 해킹의 대상이 되기 쉬웠던 것입니다. 금융 서비스인 만큼 항상 돈이 몰려있으니 취약점을 발견해 공격하면 얼마든지 자금도 빼낼 수 있는 것이죠.
또 디파이 서비스들은 ‘탈중앙화’를 지향하는 만큼 개발 코드를 오픈소스로 깃허브에 공개하는 경우가 많습니다.
때문에 다른 서비스의 코드를 참고해 새로운 디파이 서비스들을 만들어내는 경우가 많은데요. 이 과정에서 보안 취약점이 생길 때가 많습니다. 다른 서비스의 코드를 새로운 서비스로 복사해오는 과정에서 검수를 제대로 하지 않으면 취약점이 생길 수 있는 것입니다. 디파이 서비스들의 코드를 잘 알고 있는 해커라면 이런 취약점을 이용하기 용이하겠죠.
이 밖에도 디파이 서비스 중 탈중앙화거래소(DEX)는 대형화된 중앙화 거래소에 비해 거래량, 즉 유동성이 부족한 경우가 많습니다. 유동성이 부족한 만큼 가격 조작을 하기도 쉽죠. 보안 취약점을 이용해 해킹을 한 다음, 해킹으로 취득한 물량으로 가격 조작을 해서 더 많은 금액을 탈취하는 사례도 많습니다.
◆디파이 해킹의 대표주자, 플래시론 공격
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18