본문 바로가기
암호화폐 소식

커브 공격 그 후, 디파이의 다음 단계는?

Encleiv 2023. 8. 2.

출처=픽사베이

 

 

 

 

주요 디파이(DeFi·탈중앙화 금융) 플랫폼이 잇따라 취약점 공격(exploit)을 받으면서 휘청거리고 있다.

 

메타마스크 개발자 테일러 모나한은 지난 주말에 인기 탈중앙화 거래소 중 하나인 커브 파이낸스(Curve)를 포함해 모두 7000만달러(약 905억원)가 도난당했다고 추산했다. 디파이 프로토콜 알케믹스(Alchemix), 일드 플랫폼 펜들 파이낸스(Pendle), 디파이 합성 프로토콜 메트로놈, 대체불가토큰(NFT) 프로토콜 JPGE가 커브와 함께 피해를 봤다.

 

디파이 전문매체 더디파이언트는 이번 사건으로 디파이 대출 플랫폼들은 에이브(Aave)를 비롯한 다른 디파이 플랫폼에서 자금을 회수하기 시작했고, 이는 전문 금융섹터의 대출 수수료를 급등시켰다고 보도했다.

 

한 치의 의심도 없이 최악으로 치달을 수 있는 사건이다. 놀랍게도 이번 사태에 반전이 있었는데, 일부 공격은 화이트 해커가 실행했다는 점이다. 게다가 5건의 악성 공격 중 3건은 MEV(최대 추출 가능 가치) 전문가들에 의한 '프론트런'(선행매매)인 걸로 확인됐다. 이 중 최소 2건은 커피베이비(Coffeebabe.eth)라는 다량의 MEV 계정에 의한 것이다. 커피베이비는 이번 공격으로 인한 자금을 되돌려줘야 할 책임이 있다.

 

MEV는 검증자(밸리데이터)가 블록체인 트랜잭션이 기록되는 순서를 조정하거나 최적화해 추가로 수익을 창출하는 것을 가리킨다. 이에 대한 논란이 있지만, 퍼블릭 블록체인 작동 방식에서 막을 수 있는 방법은 없다.

 

온체인 데이터 제공자, 일명 '오라클' 시스템인 체인링크(LINK)도 이번 공격에서 2차 피해를 막았다는 칭찬을 받고 있지만, 단지 운이 좋았던 것으로 보인다. 체인링크 커뮤니티 앰버서더 중 한 명인 체인링크갓은 자신의 트위터 계정에 "만약 에이브나 다른 탈중앙 금융 대출 프로토콜과 같은 플랫폼이 (현재 탈취된) CRV/ETH 커브 풀을 온체인 오라클로 사용했다면, 이들 역시 완전히 망했을 것"라고 비판했다. 그럴싸한 말이지만, 동어반복에 지나지 않는다.

 

공격의 본질은 스마트컨트랙트를 실행할 때 사용되는 프로그래밍 언어 '바이퍼'에서 발견된 취약성에서 기인했기 때문이다. 이번 해킹은 이전 버전의 바이퍼 내 '재진입'(re-entrancy) 버그로 인한 것으로 확인됐다. 바이퍼 쪽에서는 0.2.15, 0.2.16, 0.3.0 등 이전 버전을 사용하는 프로젝트와 연락이 돼야 한다고 했지만, 근본적인 문제를 해결하기 위해서는 며칠 또는 몇 주, 몇 달이 걸릴 수도 있다.

 

크립토 세계에서의 해킹은 다른 곳에서 일어나는 해킹과는 완전히 다르다. 해커들이 훔친 자금을 돌려주는 것이 점점 더 많아지고 있는데, 블록체인의 특성상 항상 추적이 가능하기 때문이다. 이 점은 해킹으로 탈취한 암호화폐를 세탁하고 현금화하는 일을 매우 어렵게 만든다. 물론 이런 특성 때문에 암호화폐 탈취를 위한 공격이 다른 분야에서보다 덜 일어날 수 있다고 생각할 수도 있다. 실제로는 그렇지 않다. 보안·감사 회사인 써틱(CertiK)은 지난달에만 암호화폐 사용자가 취약점 공격으로 인해 최소 3억3000만달러(약 4282억원)의 손실을 입었다고 발표했다.

 

공격의 기술적 측면은 아직 해결 중이며 이로 인한 전체 피해 규모는 아직 알려지지 않았다. 하지만 적어도 한 가지 분명한 시사점이 있다. 유니스왑의 새로운 서비스 '유니스왑X'이 공개된 뒤, 탈중앙화 거래소(DEX·덱스)의 미래에 대해 많은 논의가 이뤄졌다는 것이다. 유니스왑X는 오프체인 메커니즘을 활용해, 유니스왑 내 거래 수수료를 절감한 오픈소스 프로토콜이다.

 

분명히 크립토 세계는 이런 방향으로 나아가고 있다. 카우스왑과 0x, 그리고 현재 유니스왑X를 포함한 수많은 프로토콜이 모두 오프체인에서 암호화폐 거래의 일부를 수행하는 '최상의 실행'(best execution) 모델을 사용하고 있다.

 

 

 

 

출처: 코인데스크 코리아
https://www.coindeskkorea.com/news/articleView.html?idxno=92325
 

커브 공격 그 후, 디파이의 다음 단계는? - 코인데스크코리아

주요 디파이(DeFi·탈중앙화 금융) 플랫폼이 잇따라 취약점 공격(exploit)을 받으면서 휘청거리고 있다.메타마스크 개발자 테일러 모나한은 지난 주말에 인기 탈중앙화 거래소 중 하나인 커브 파이

www.coindeskkorea.com

 

'암호화폐 소식' 카테고리의 다른 글

바이낸스, 고팍스 대표 2달도 안 돼 또 변경  (0) 2023.08.09
BTC20, 10일부터 토큰 스테이킹 시작  (0) 2023.08.04
미 하원 "스테이블 코인 규제안 협상 중단"  (0) 2023.07.29
스테이블코인 시총 16개월 연속 하락…최저치 기록  (0) 2023.07.21
금감원·한공회 등 가상자산 회계감독 설명회 26일 개최  (0) 2023.07.20

'암호화폐 소식' 관련글

티스토리툴바