아발란체(AVAX) 체인 상에서 플래시론 공격이 발생해 37만1000달러(한화 5억1270만원) 상당의 자금이 탈취됐다.
블록체인 전문 보안업체 서틱(CertiK)은 6일(현지시간) 트위터를 통해 아발란체 기반 거래소와 대출 플랫폼이 플래시론 공격을 받았다고 밝혔다.
업체는 아발란체 대표 탈중앙화거래소 '트레이더조', 대출 프로토콜 '네레우스파이낸스', 자동화마켓메이커(AMM) '커브파이낸스' 등의 피해 가능성을 시사했다.
네레우스는 "해커가 에이브에서 5100만 달러 규모의 플래시론을 받을 수 있는 스마트 컨트랙트를 배포하고, AVAX/USDC 거래소 트레이더조의 유동성풀 가격을 인위적으로 조작했다"고 설명했다.
네레우스에 따르면 해커는 50만8000 달러를 담보로 네레우스 자체 토큰 NXUSD 99만8000만 개를 생성, 이를 여러 유동성풀에서 다른 자산으로 전환했으며, 여기서 플래시론 금액을 상환한 뒤 남은 37만1406 달러를 챙겼다.
이같은 공격으로 NXUSD 프로토콜은 50만 달러 상당의 악성 부채를 떠안게 됐다.
네레우스는 "공격에 노출된 시장을 일시 중단하고 감사·보안 수준을 강화하고 있다"고 밝혔다. 이어 "이용자 자금과 대출 프로토콜은 영향을 받지 않았고, NXUSD도 초과담보 상태를 유지하고 있다"고 강조했다.
네레우스는 보안 전문가 및 법 집행 당국과 접촉하고 있으며, 해커 신원 파악 및 자금 추적에 나서고 있다. 자금 반환 시 20%의 보상금도 제시했다.
플래시론은 블록이 한 개가 생성되는 15분 이내의 짧은 시간 동안 담보 없는 대출과 상환을 실행할 수 있는 스마트 컨트랙트 기반 서비스다.
디파이 생태계에서 무담보 대출을 가능하게 한 혁신적인 방식이지만, 이를 악용한 피해 사례가 연일 발생하고 있다.
최근에도 디파이 프로토콜 큐피드, 뉴프리다오(NFD) 등이 플래시론 공격에 노출돼 각각 7만 달러, 125만 달러 상당의 피해를 입었다.
한편, 서틱이 지난 2일 발간한 보고서에 따르면 플래시론 공격으로 인한 피해 규모는 지난달 74만5244달러로, 전월 대비 95% 감소했다. 올해 전체 해킹, 스캠 사고는 총 379건이 발생했으며, 피해 금액은 23억4000만 달러의 상당인 것으로 나타났다.