대형 디파이 '커브 파이낸스', 해킹 공격으로 '600억' 피해

스테이블코인 중심의 디파이 프로토콜 '커브 파이낸스'의 풀에 해킹 공격이 발생했다. 피해 추정 규모는 약 4700만 달러(한화 약 599억원)이다.

커브 파이낸스는 31일(현지시간) 트위터를 통해 "바이퍼 0.2.15를 이용하는 다수의 스테이블 풀(alETH/msETH/pETH)이 재진입 잠금 기능(reentrancy lock) 오작동 문제로 해킹을 당했다"고 발표했다.

커브 파이낸스는 이더리움 기반 스테이블코인을 위한 탈중앙화 거래소(DEX)를 지원하는 디파이 프로토콜이다.

바이퍼(Vyper)는 스마트 컨트랙트 중심의 프로그래밍 언어로, 파이썬과 유사해 일반 개발자의 웹3 진입을 지원하고 있다.

초기 조사에 따르면 일부 바이퍼 컴파일러에서 여러 함수의 동시 실행을 막는 '재진입 가드' 기능이 정상 작동하지 않은 것으로 확인됐다.

바이퍼는 공식 채널을 통해 0.2.15, 0.2.16, 0.3.0 버전이 재진입 잠금 오작동에 취약한 상태라고 밝혔다.

해당 공격을 받을 경우 컨트랙트 내 모든 자금이 고갈될 수 있다고 알려졌다.

보안 업체 안실리아(Ancilia)가 해킹 피해를 입은 컨트랙트를 분석한 결과, '바이퍼 0.2.15' 사용 계약이 136개, '바이퍼 0.2.16' 사용 계약이 98개, '바이퍼 0.3.0' 사용 계약이 226개로 나타났다.

이번 공격으로 여러 탈중앙화 금융(디파이, DeFi) 프로젝트가 피해를 입었다.

탈중앙화 거래소 엘립시스는 오래된 바이퍼 컴파일러를 이용했는데, BNB를 사용하는 몇몇 스테이블 풀이 해킹됐다고 보고했다.

알케믹스도 alETH-ETH에서 1360만 달러(한화 약 173억원), JPEGd의 pETH-ETH에서 1140만 달러(한화 약 145억원), 메트로놈의 sETH-ETH 풀에서 160만 달러(한화 약 20억원)의 자금이 빠져나갔다.

마이클 에고로프 커브 파이낸스 CEO는 2200만 달러(한화 약 280억원)의 CRV 토큰이 스왑풀에서 유출됐다고 밝혔다.

커브 파이낸스는 "crvUSD 계약 및 관련 풀은 피해를 입지 않았다"고 강조했다.

커브 파이낸스 해킹은 디파이 생태계 전반에 패닉을 일으키고 있다.

지난주까지 디파이 프로토콜 6위를 기록했던 커브 파이낸스는 총예치금(TLV)이 18억6900만 달러까지 43% 급감하며 11위로 물러났다.

커브 파이낸스의 유틸리티 토큰 커브다오(CRV)는 현재 전날 대비 15% 하락한 0.62 달러를 기록 중이다.

디파이 생태계가 계속해서 해킹 공격에 노출되고 있다.

웹3 포트폴리오 앱 디.파이(De.Fi)에 따르면 올해 2분기에만 디파이 해킹 공격과 스캠으로 2억400만 달러(한화 약 2602억원)의 피해가 발생했다.

[email protected]