뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
2
디파이(DeFi) 프로토콜 SIR.trading이 해킹으로 전액 탈취된 가운데, 프로젝트 창립자가 해커에게 일부 자금 반환을 간곡히 요청하고 나섰다. 창립자는 35만 5,000달러(약 51억 8,000만 원) 상당의 피해 중 70%를 돌려주지 않으면 SIR.trading은 생존할 수 없다고 호소했다.
해킹은 지난 3월 30일 발생했다. 익명의 창립자 ‘Xatarrer’는 다음 날 온체인 메시지를 통해 해커에게 “100,000달러는 치명적인 버그를 발견한 대가로 간주하겠다”며 나머지 자금인 약 25만 5,000달러(약 37억 원)를 반환해 달라고 요청했다. 이를 통해 사건을 종결하고 법적 조치를 취하지 않겠다는 뜻도 밝혔다.
Xatarrer에 따르면 SIR.trading은 벤처 투자 없이 4년 간의 개발과 7만 달러의 개인 자금을 토대로 구축된 프로젝트로, 별도 마케팅 없이도 TVL(총예치자산)이 자발적으로 40만 달러까지 성장했다고 설명했다. 그는 “당신이 전액을 가져가면 우리는 살아남을 수 없다”고 밝혔다. 해킹 수법에 대해서도 “만약 사람들이 피해를 입지 않았다면 거의 예술에 가까운 수준이었다”고 평가할 정도로 해커의 기술력을 인정했다.
현재까지 해커는 아무런 응답을 하지 않았으며, 탈취한 자금은 이더리움 프라이버시 솔루션 ‘레일건(Railgun)’을 통해 세탁된 것으로 확인됐다. 이는 이더리움 블록체인 탐색기 이더스캔(Etherscan)을 통해 추적됐다.
이번 해킹은 이더리움 ‘덴쿤(Dencun)’ 업그레이드 이후 새로 도입된 트랜지언트(transient) 스토리지 기능을 활용한 치명적인 취약점에서 출발한 것으로 나타났다. 공격자는 프로토콜 내 ‘Vault’ 계약의 콜백 함수(callback function)를 악용, 유니스왑(Uniswap) 풀 주소를 조작해 자신의 주소로 바꿨고, 이를 반복 호출해 전액을 탈취했다.
덴쿤 업그레이드의 일환으로 추가된 해당 기능은 기존 저장소 대비 낮은 가스 수수료를 제공하기 위해 도입된 것으로, 이번 사건을 계기로 보안 리스크에 대한 우려도 제기되고 있다.
SIR.trading은 레버리지 거래 중 자주 발생하는 변동성 손실과 청산 위험 문제를 해결하려는 목표로 개발된 프로젝트였다. 보안기업 서틱(CertiK)에 따르면 올해 3월 전체 크립토 시장에서 손실된 자금은 2,880만 달러로 집계됐으며, 이는 2월보다 크게 감소한 수치다. 다만 이번 사건처럼 여전히 구조적인 취약점을 노리는 공격은 계속되고 있어 사용자 피해는 반복되고 있다.
