back

검색

7억원 피해입은 디파이 bZx, 네트워크 공격 어떻게 했나

bZx, 컴파운드, 디파이

이더리움 기반 탈중앙화 대출 프로토콜 bZx가 수 차례의 네트워크 공격을 통해 약 95만 4000달러 상당의 피해를 입었다. 이번 사태로 디파이 자산 락업 규모는 1.42억 달러 이상 감소했으며 bZx는 해당 공격으로 대출을 일시 중단시킨 상태다. 디파이에서 대출 받아 가격 조작해 '7억원' 손실 2월 17일 bZx는 공식 블로그를 통해 두 차례의 네트워크 공격으로 인해 약 64만 달러, 한화 7억원 상당의 손실을 보았다고 밝혔다. 해당 공격은 bZx의 네트워크상의 보안 취약점을 노린 것으로, 공격자는 bZx와 연동된 마진 거래소와 디파이 서비스를 오가며 가격을 조작해 이득을 취한 것으로 드러났다. bZx에 따르면 첫 공격은 지난 2월 14일에 발생으며 해당 공격으로 bZx측은 1193ETH의 손실을 봤다고 밝혔다. 이후 18일 한차례의 공격을 더 겪으며 총 2388ETH, 피해를 입은 시간을 기준으로 약 63만 6000달러 가량의 손해를 입었다. 공격자는 먼저 다른 디파이 프로젝트인 dYdX에서 암호화폐 이더리움 약 1만개를 대출받았다. 이후 해당 이더리움 중 5500개를 다른 디파이 프로젝트인 컴파운드(Compound)로 옮겨 이를 담보로 암호화폐 wBTC(Wrapped Bitcoin)를 빌렸다. wBTC란 블록체인 개발사 카이버 네트워크(Kyber Network)에서 개발한 것으로, 비트코인 가격과 1:1로 연동된 암호화폐다. 공격자는 앞서 dYdX에서 대출받은 이더리움 중 1300개를 암호화폐 wBTC의 선물 거래를 지원하는 bZx의 선물 거래소 펄크럼(fulcrum)으로 옮겼다. 옮겨진 wBTC로는 ETH/wBTC 거래쌍에서 5배의 숏 포지션을 취해 의도적인 가격 하락을 야기했다. <공격자의 암호화폐 교환 과정> 이와 동시에 공격자는 서로 다른 암호화폐간의 교환을 지원하는 일종의 탈중앙화거래소(DEX) 카이버네트워크와 유동성을 공유하는 유니스왑(uniswap)에서 5637개의 이더리움을 빌리고 51개의 wBTC를 교환받았다. 유니스왑은 유저들이 서로 다른 암호화폐를 교환하는 탈중앙화거래소로, 유동성이 많지 않아 대량의 암호화폐간 교환이 발생하면 해당 암호화폐의 가격이 크게 요동치는 현상이 발생한다. 공격자는 이를 이용해 유니스왑에서 가격이 급등한 wBTC를 판매하고, 이더리움을 다시 빌려 펄크럼에서 숏 포지션을 취하는 과정을 반복하며 시세차익을 취했다. 블록체인 보안업체 팩쉴드의 분석에 따르면 당시 의도적인 가격 하락으로 해당 거래소내 ETH/wBTC 거래쌍이 시장 평균보다 최대 109배까지 가격이 올라가는 '마진 펌핑'이 발생했으며, 공격자는 해당 숏 포지션을 통해서도 이득을 취한 것으로 드러났다. 외부 데이터 조작한 '오라클 공격'…단일 가격 지표 사용 지양해야 전문가들은 이번 공격을 외부 데이터를 조작한 '오라클 공격'으로 분석한다. 블록체인에서 오라클이란 블록체인 외부의 데이터를 블록체인과 연결하는 것으로, 이때 외부 데이터가 입력되는 과정에서 데이터 조작이 행해질 수 있다. bZx는 암호화폐 가격 정보를 카이버네트워크라는 외부로부터 받아들였다. 이로 인해 공격자의 이상 거래로 외부 거래소들과 가격 차이가 현저하게 발생했음에도 불구하고, bZx내에서는 이를 감지하지 못한 것으로 보여진다. 세르게이 니자로프(Sergey Nazarov) 체인링크 CEO는 bZx와 같은 소규모 거래소들의 경우 잘못된 가격의 의존하게 되면 새로운 공격에 노출될 수 있다며 이번 공격과 같은 현상이 디파이의 지속적인 문제로 이어질 수 있다고 지적했다. 또한 그는 "특정한 단일 거래소의 가격만을 사용하지 말라"고 꼬집었다. bZx는 이번 공격 이후 오라클을 체인링크 프로토콜 기반의 오라클로 전환해 시스템 안정성을 높이겠다고 밝혔다. bZx측의 코드상 결함 또한 있었다는 점도 발견됐다. 런던 기반의 암호화폐 보험회사 넥서스 뮤추얼(Nexus Mutual)은 이번 공격에서 이상 마진 거래에 대한 bZx의 감지 시스템이 작동되지 않아 문제가 발생했다는 점이 확인 되었다며 bZx에 대한 피해보상 절차를 진행한다 밝혔다. 한편 이번 사태 이후 디파이에 예치된 전체 자산 규모는 급속도로 감소했다. 이달 초 12억 2000만 달러를 돌파하며 사상 최대치를 경신한 예치금액은 bZx공격이 알려진 18일 이후 급감해 2억달러 이상 감소했다. 현재 디파이 예치금액은 총 10억달러 규모다. 원재연 기자 won.jaeyeon@joongang.co.kr

조인디 logo
j o i n
d

Article Title

  • J loading image
  • O loading image
  • I loading image
  • N loading image
  • D loading image

RE:CENT