출처=크림파이낸스
출처=크림파이낸스

디파이(DeFi, 탈중앙화금융) 대출 프로젝트 크림파이낸스가 플래시론을 이용한 공격으로 약 1억3000만달러(약 1500억원) 상당의 가상자산 손실을 봤다. 크림파이낸스가 외부 공격으로 자금을 탈취당한 건 이번이 세 번째다. 

해당 사건은 가상자산 보안 기업 팩실드가 27일(미국시간) 자사 트위터에 크림파이낸스에서 플래시론 공격이 발생했다고 올리면서 알려졌다. 이더스캔에 따르면 공격자는 주로 크림파이낸스의 유동성공급(LP) 토큰인 크림(CREAM)과 이더리움(ERC-20)기반 토큰들을 탈취했으며, 이 과정에서 68종 토큰을 대상으로 9이더리움(ETH) 이상의 가스비를 사용한 것으로 알려졌다. 

크림파이낸스는 트위터에서 이 같은 사실을 인정했다. 크림파이낸스는 “협정세계시(UTC) 기준 27일 오후 1시54분 이더리움 기반 크림 렌딩마켓 V1의 유동성이 제거되고 공격자가 약 1억3000만달러 상당의 토큰을 마켓에서 제거했다”면서 “와이언파이낸스(yearn finance)와 다른 커뮤니티의 도움으로 취약점을 파악하고 패치를 적용했다. 다른 마켓에는 영향이 없을 것”이라고 밝혔다. 

현재 크림파이낸스의 이더리움 기반 유동성풀에선 유동성 공급이 중단됐으며 거의 비어있는 상태다. 디파이라마에 따르면 공격 전 크림파이낸스의 총예치금(TVL)은 약 10억달러 수준이었다. 

크림파이낸스는 지난 8월 같은 유형의 공격으로 1880만달러를, 2월 3750만달러 상당을 손실한 바 있다. 디파이 자금손실을 다루는 알이케이티(REKT)가 발표한 자료 기준 이번 사건은 역대 디파이 자금탈취 공격 중 세 번째로 큰 규모다. 

 

계속되는 플래시론 공격…해결점은?

업계에서는 이 같은 공격의 원인에 대해 플래시론 자체보다는 프로젝트 내 스마트계약의 취약성에 주목하고 있다. 플래시론은 단순히 자본을 조달한 수단이었을 뿐 소수 프로젝트의 취약성으로 인한 문제가 머니 레고(Money lego)로 이어진 다른 디파이 프로젝트에 영향을 줬다는 주장이다

플래시론은 이더리움 1블록이 생성되는 15초~15분가량의 짧은 시간동안 예치, 담보, 대출, 상환에 이르는 과정이 모두 이뤄지는 가상자산 대출 서비스다. 주로 재정거래를 통해 차익을 얻는데 활용된다. 플래시론은 무담보 대출이라는 분야를 개척했다는 점에서 디파이의 혁신 서비스로 평가받는 동시에, 소수 프로젝트의 취약한 코드와 오라클(가격연동피드)이 결합해 자금탈취의 주요 수단이 된다는 지적을 받아왔다. 

머니 레고는 디파이 커뮤니티에서 파생한 용어로, 스테이블코인, 탈중앙거래소(DEX), 예치 및 대출, 어그리게이터 등 복수의 프로젝트가 서로의 서비스 위에 새로운 제품과 도구를 결합할 수 있는 구조를 일컫는다. 

플래시론을 만든 디파이 대출 프로토콜 아베(Aave)의 스타니 쿨라초프 창업자도 “플래시론은 자본이 없는 많은 사람들에게 권력을 개방했을 뿐 플래시론 자체가 공격 중 악용된 취약점을 만든게 아니다”라면서 “플래시론처럼 여러 디파이 상품 및 프로토콜에 연결할 수 있는 머니 레고 시스템은 보안이 훨씬 더 중요하다. 디파이 산업 차원에서 보안, 위험 및 감사에 대한 표준을 정립해야 한다”고 강조했다.

헥슬란트 리서치센터도 7월 발간한 '보안사고 사례로 알아보는 디파이 생태계 취약점' 보고서에서 플래시론을 활용한 공격을 방지할 방안으로 분산형 오라클(가격피드) 적용, 스마트계약 보안감사, 다중서명 계약 및 로직 적용을 제시했다

가상자산 시세정보 사이트 코인게코(CoinGecko)에 따르면 152달러(약 18만원) 수준에서 거래되던 크림(CREAM) 가격은 해당 소식이 나온 이후 27% 가량 급락했다. 한국시간 오전 6시20분 기준 CREAM은 114달러(약 13만원)선에서 거래되고 있다. 

김세진 객원기자. 2018년 말부터 블록체인∙암호화폐 금융(CeFi, DeFi) 시장과 연을 맺고 있습니다. 돈(Money)이 디지털로 변하는 과정을 글로 논합니다. 소량의 비트코인(BTC), 이더리움(ETH) 등을 보유하고 있습니다.
제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지