코닉 파이낸스, 이더리움 1700개 해킹...보유분의 절반

탈중앙금융(DeFi·디파이) 프로토콜 코닉 파이낸스가 1700개의 이더리움을 해킹당했다고 21일 밝혔다.

현재 이더리움 가격을 기준으로 환산했을 때 360만 달러(한화 약 46억4040만원)에 달하는 금액이며, 회사가 보유하던 이더리움의 절반 가량에 해당한다. 해커가 자산을 탈취하기 위해 반복적으로 프로토콜에 호출함으로써 스마트 컨트랙트를 속이는 일반적은 버그로 이루어졌다.

이는 '읽기 전형 재진입' 해킹 방법에 해당한다. 재진입을 통해 가격 정보를 바꾸며 반복적으로 이더리움 탈취를 진행한 셈이다.

현재 사내 개발자들은 원인을 조사중이며 출금은 문제가 없는 것으로 알려졌다. 코닉 파이낸스 측은 트위터를 통해 이번 공격으로 영향을 받은 컨트랙트의 취약점을 수정하고 있다"며 "출금과 이더리움 외 코닉 옴니풀은 문제 없다"고 전했다.

코닉 파이낸스는 사용자가 옴니풀에 토큰을 예치하면 커브 ㅅ애태계 전반에 노출을 시키며 보상을 증가시키는 디파이 프로토콜로 3월 출시 직후 수백만 달러의 자본을 유치하며 크게 인기를 끌었다. 이용자는 DAI, FRAX, USDC 옴니풀에서 연간 최대 21%의 수익률을 얻을 수 있다.

3월 8일 당시 코닉 파이낸스는 출시 일주일만에 락업 예치금 규모(TLV)가 6000만 달러(한화 약 773억4000만원)을 돌파했다.

한편 업계 해킹이 최근 빈번하게 발생하고 있다. 여타 프로젝트의 경우에는 트위터 계정 해킹으로 에어드랍을 빙자한 자금 탈취도 다수 이루어지고 있다.

같은날 유니스왑은 창업자의 트위터 계정이 해킹 당했으며, 플레저다오(DAO) 역시 전날 트위터 계정이 해킹 당하며 120만 달러 (한화 약 15억4680만원) 상당의 피해가 발생했다.

한편 블록체인 전문 보안업체 팩실드 측은 커브LP 오라클 V2에 또다른 잠재적 문제점이 있음을 지적하며 해킹 재발 방지를 위해 대응할 것을 권고했다.

팩실드에 따르면 2023년 상반기 스마트 컨트랙트 디파이 해킹으로 인한 손실금액은 4억8000만 달러(한화 약 6187억2000만원)이며, 이 중 이더리움 피해액이 절반 이상으로 집계됐다.

[email protected]