출처=팬케이크버니
출처=팬케이크버니

바이낸스스마트체인(BSC) 기반 디파이(DeFi, 탈중앙화금융) 이자농사 최적화 서비스인 팬케이크버니(BSC 생태계 이용자 예치금(TVL) 순위 2위)의 버니(BUNNY) 토큰이 21일 오전 7시 34분께 249.16달러에서 1.01달러로 -99% 가량 폭락했다.

팬케이크스왑은 공식 트위터 채널에서 이 폭락의 원인을 플래시론(FlashLoan) 공격에 의한 외부 해커의 소행이라고 21일 오전 9시 22분경 밝혔다.

플래시론은 블록체인 네트워크에서 블록 1개가 생성되는 시간 안에 무담보 대출을 실행하는 방식이다. BSC의 경우 블록 1개가 만들어지는 데 약 3초의 시간이 걸린다.

팬케이크버니의 분석 결과에 따르면, 해커는 BSC 기반 디파이 자동마켓메이커(AMM) 프로토콜인 팬케이크스왑을 이용해 BNB를 플래시론으로 빌렸다. BNB는 암호화폐 거래소인 바이낸스가 발행하는 거래소 코인이다. 팬케이크버니가 공개한 트랜잭션 내역을 보면 실제로는 해커가 BNB와 1대1 가치를 지니는 WBNB를 동시다발적으로 크게 빌려간 것을 확인할 수 있다.

이후 해커는 플래시론의 대출 기간이 끝나는 짧은 시간 동안 팬케이크버니가 발행한 BUNNY 토큰과 스테이블코인인 USDT와 1:1 가치를 지니는 BUSD-T의 가격을 순간적으로 무너뜨려 막대한 양의 BUNNY 토큰을 얻었다.

해커는 오전 7시 34분경 이 플래시론 공격을 통해 얻은 BUNNY 토큰을 한꺼번에 매도한 것으로 보인다. 실제로 오전 7시 34분경 BUNNY 토큰은 660만개가 넘게 매도됐다. BUNNY 토큰의 총 발행량이 약 963만개인 것을 감안하면 전체 물량의 약 69%가 1분 안에 매도된 셈이다. 이후 해커는 팬케이크스왑에서 빌린 WBNB를 갚았다. 

팬케이크버니는 공식 텔레그램 을 통해 "현재 정확한 해킹 시점을 파악하고 있다"며 “입금은 그동안 일시적으로 중지되며, (해킹에 대한) 보상 계획도 세우고 있다”고 전했다. 

한편 BUNNY 토큰은 20일 오전 10시 기준 폭락 최저점이었던 1.01달러 대비 반등한 8.36달러에 거래되고 있다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지