탈중앙화 거래소(DEX) 비스큐가 해킹 공격으로 자금 손실을 입었다.
7일(현지시간) 코인데스크 보도에 따르면 해커들은 거래소의 소프트웨어 결함을 이용해 암호화폐 25만 달러 상당을 탈취했다.
암호화폐 익명 거래를 지원하는 탈중앙화 거래소 비스큐는 전날 ‘심각한 보안 결함’을 발견하고 거래 지원을 잠정 중단한다고 공지했다.
거래 중단 18시간 만에 거래소는 "해커가 소프트웨어의 결함을 이용해 사용자 암호화폐를 갈취하고 있다는 사실을 확인하고 유례 없는 조치를 취하게 됐다"고 해킹 사실을 발표했다.
비스큐는 "약 24시간 전 해커가 거래 프로토콜의 결함을 이용해 개별 거래를 노리고 있다는 사실을 확인했다. 7명의 피해자가 발생했으며 총 3BTC와 4,000XMR를 도난당했다"고 밝혔다. 피해규모는 비트코인(BTC) 22,000달러, 모네로(XMR) 23만 달러로 총 25만 달러(약 3억원)에 이른다.
해커는 거래가 성사되지 않을 때 암호화폐가 자동 전송되는 이용자의 예비 주소를 자신의 지갑으로 조작했다. 매도자인척 매수자에 접근해 거래를 시작하고 제한 시간이 끝날 때까지 기다렸다. 거래가 무산되면 해당 자금은 매수자의 결제 비용, 증거금과 함께 해커의 손으로 넘어갔다.
문제가 된 소프트웨어의 결함은 최근 프로토콜 업데이트에 포함된 부분으로 확인됐다. 비스큐는 8일 12시(UTC) 오류를 수정하고 거래를 재개, 향후 피해자 배상안을 논의할 예정이라고 밝혔다.
비스큐는 탈중앙자율조직(DAO)을 둔 거래소로 지난 2018년 말 운영을 시작했다. 다른 탈중앙화 거래소와 마찬가지로 별도의 등록 절차나 신원확인 없이 익명으로 암호화폐를 거래할 수 있다.
일반적으로 탈중앙화 거래소들은 불법 행위를 한 해커를 차단하지만, 비스큐 거래소는 그렇지 않다.
거래소의 한 개발자는 결함이 수정되었지만 해커의 신원을 알 수 없기 때문에 해커가 다시 플랫폼을 이용하는 것을 막을 수 없다고 밝혔다. 그는 "누구나 비스큐를 이용할 수 있다. 검열하지 않는다. 비트코인 거래를 막을 방법은 없다"고 말했다.