위메이드 디파이 '클레바', 이자 과지급 사고..."피해액 회수중"

600억 원 상당의 이자 과잉 지급... 이중 200억 원 상당의 KUSDT 1700만 개는 출금

컴퓨팅입력 :2022/01/28 11:24    수정: 2022/01/28 17:24

위메이드가 만든 탈중앙금융서비스(DeFi) 클레바에서 200억 원 상당의 암호화폐가 비정상적으로 사라지는 사고가 발생했다. 사고가 알려진 직후 해킹 의혹이 제기되기도 했지만, 원인분석 결과 서비스 업데이트를 위해 코드를 수정하는 과정에서 이자율 계산 코드가 영향을 받아 이자가 과잉지급된 것으로 확인됐다.

28일 클레바팀은 텔레그램을 통해 지난 27일 저녁 발생한 클레바 KUSDT풀 서비스 중단과 코인 과출금 사고에 대한 대응 보고서를 공개했다.

지난 27일 오후 8시께 클레바 프로토콜 내 KUSDT풀이 웹사이트에서 사라지면서, 이용자 커뮤니티에서는 각종 의혹이 제기됐다. 

클레바팀은 서비스를 내린 직후 공지를 통해 "KUSDT 풀을 점검하기 위해"라고 설명했지만, 클레이튼 블록 탐색기인 클레이튼스콥에서는 KUSDT수량이 알수 없는 이유로 빠저나간 것이 확인되면서다. 클레바는 클레이튼 블록체인 위에서 개발된 디파이로, 발행된 코인의 수량과 이동 이력 등이 클레이튼스콥에 그대로 기록된다.

위메이드 디파이 서비스 클레바에서 이자 과지급사고가 발생했다.

KUSDT와 예치 이자 토큰인 ibKUSDT는 서로 1대 1로 스테이킹되는 방식이기 때문에 1ibKUSDT는 1KUSDT의 가치를 가져야 한다.

하지만, 클레이튼스콥에 따르면 클레바의 ibKUSDT 풀이 현재 보유하고 있는 KUSDT는 1억447만4944개로, 당초 발행한 수량인 1억2149만6449개 보다 1702만1505개가 부족하다. KUSDT는 1달러의 가치를 가지기 때문에 200억 원 상당의 코인이 사라진 것이다.

ibKUSDT풀에 1700만 개 가량의 빠져나가면서, 1 ibKUSDT의 변환 가치도 0.8599KUSDT로 떨어져 있는 상태다.

이 같은 사고가 발생한 원인은 서비스 업데이트 과정에서 발생한 코드 오류로 확인됐다. 

클레바팀은 "파밍 기능을 준비하기 위해 코드를 업데이트 하면서, 오류가 포함돼 이자가 과잉 지급됐다"고 설명했다. 구체적으로는 "ibKUSDT 볼트의 코드를 수정하는 과정에서 이자 계산 코드에 예기치 못한 영향이 있었다. KUSDT의 presision(정밀도)이 다른 토큰에 비해 현저히 낮아 해당 부분을 보수하던 중, 잘못된 precision 설정값을 업데이트하게 됐고, 그 결과 이와 같은 사태가 발생하게 됐다"고 부연했다.

이 문제를 살펴본 보안 전문 업체 티오리는 보다 상세한 분석결과를 공개했다.

티오리에 따르면 KUSDT는 소수점 6자리로 가격을 표시하는데, 클레바가 포크해 사용하고 있는 렌딩 프로토콜인 알파카 파이낸스는 소수점 18자리를 가정해 이율 모델을 만들었다. 따라서, 소수점 6자리를 사용하는 토큰에 이 이율 모델을 그대로 적용하면 항상 0 또는 0에 매우 가까운 값이 반환돼, KUSDT 대출을 해도 이율이 사실상 증가하지 않게 된다.

티오리는 클레바측이 해당 현상을 인지하고 모델 내 이자 계산에 사용되는 소수점 자리값을 18에서 6으로 바꾸면서 오류가 발생한 것으로 분석했다.

다행히 후속 조치는 빠르게 이뤄졌다. 오류 코드를 패치하고, 과잉 지급된 이자를 회수하는 중이다.

클레바팀에 따르면 과잉 지급된 이자는 KUSDT 5200만 개다. 이중 실제 출금이 이뤄진 수량은 1700만 개다. 클레바팀은 출금 되지 않은 토큰은 물론, 이미 거래소 등으로 출금된 토큰까지 회수 중이다.

클레바팀은 피해액 회수와 관련해 "개인·기관과의 협의를 통하여 자금 회수 중"이라며 "개인과 기관의 원활한 협조를 받아 자금의 99.41%를 회복했고 현재 반환 진행중에 있는 자금을 포함할 시 99.9%가 복구될 예정이다"고 설명했다. 또 "부족한 자금은 토큰의 이동 중 발생한 수수료, 슬리피지분이며 이에 대한 손실은 한치의 모자람도 없이 충원하겠다"고 했다.

관련기사

재발 방지를 위해서는 "가장 안전하고 완전한 테스트 환경과 방법론을 도입하여 완벽한 QA를 진행하고, 일반적으로 간단한 작업이라 일컫는 환경값 수정 작업 또한 오딧(감사)에 준하는 엄격한 과정을 통해 수행하겠다"고 했다.

장현국 위메이드 대표는 “예상치 못한 사고로 심려를 끼친 점에 대해 사과 드린다”며 “사고 수습은 완료되었고, 원천적으로 재발을 방지하기 위한 구조를 수립하겠다. 위메이드의 이름을 걸고 하는 만큼, 앞으로도 책임있는 서비스를 제공하겠다”고 밝혔다.