중국 탈중앙 금융 플랫폼 디포스, 해킹으로 자산 99% 털려

"이더리움 토큰표준 관련 취약점 이용...재진입 공격 당한 듯"

컴퓨팅입력 :2020/04/20 11:42    수정: 2020/04/20 17:16

이더리움 토큰 표준과 관련된 취약점을 노린 공격으로 한 중국 탈중앙금융(Defi·디파이) 플랫폼에서 2천500만 달러(약 300억원) 규모의 암호화폐가 탈취되는 사고가 발생했다.

19일(현지시간) 디크립트 등 블록체인 전문 외신들은 중국 디파이 프로토콜 '디포스'에서 이더리움 ERC777 토큰 표준과 관련된 보안 취약점을 이용한 공격이 발생했다고 보도했다.

이번 해킹 사고로 디포스는 보유 자산의 99%인 2천500만 달러 규모의 이더리움(ETH)과 비트코인(BTC)을 도난당했다.

보도에 따르면 보안 전문가들은 이번 사고가 하루 앞서 발생한 탈중앙 암호화폐 거래소 '유니스왑' 해킹 과 연관된 것으로 추정하고 있다. 유니스왑은 지난 18일 30만 달러(약 3억7천만원) 규모의 암호화폐를 도난 당했다.

유니스왑에 따르면 사고는 'imBTC'라는 토큰을 연동한 유니스왑 스마트 컨트랙트에서 발생했다. imBTC는 비트코인과 1대 1로 가치가 교환되는 이더리움 토큰으로 토큰론(TokenIon)이라는 업체가 발행·운영한다.

디포스 사고는 렌딩 프로토콜 렌드프닷미(Lendf.Me)의 컨트랙트에서 발생했는데, 렌드프닷미 역시 지난 1월 imBTC와 연동을 시작했다.

토큰론 측은 두 암호화폐 탈취 사고 모두 이더리움의 토큰 표준 ERC777과 관련된 취약점을 이용한 것으로 보고 있다.

토큰론은 자사 블로그를 통해 두 사고에 대해 "우리가 아는 한 ERC777 토큰 표준에는 보안 취약점이 없다. 하지만 ERC777 토큰 사용과 유니스왑·렌드프닷미 컨트랙트의 조합으로 재진입 공격이 가능하다"고 설명했다.

재진입 공격은 스마트컨트랙트의 취약점을 이용해 '출금'을 반복적으로 호출해 암호화폐를 빼내가는 공격이다.

관련기사

토큰론은 두 공격이 지난해 블록체인 보안 감사 업체 '오픈제플린'이 공개한 취약점을 해커가 이용한 것으로 보고 있다. 오픈제플린은 유니스왑 거래소에서 ERC777 토큰 거래와 관련된 취약점이 있고, 이 취약점을 이용해 재진입 공격이 가능하다고 보고한 바 있다.

현재 두 플랫폼은 추가 공격을 막기 위해 서비스를 모두 중단한 상태다. 토큰론 또한 imBTC토큰의 모든 트랜잭션을 중단했다.