예치 금액이 20억 달러(약 2조 4천억원) 규모인 국내 최대 탈중앙화금융(DeFi·디파이) 서비스 '클레이스왑'에서 해킹으로 총 22억원 규모의 암호화폐가 탈취됐다. 클레이스왑 측은 사고 원인 파악 후 보상안을 마련할 계획이다.
클레이스왑은 카카오의 블록체인 자회사 그라운드X가 개발한 퍼블릭 블록체인 플랫폼 '클레이튼' 생태계에서 돌아가는 디파이 서비스로 오지스가 개발사다. 오지스는 지난 3일 발생한 비정상 출금에 대한 안내문을 발표하면서 이같이 밝혔다.
안내문에 따르면 비정상 출금은 지난 3일 11시31분 경 처음 발생했다. 이용자가 클레이스왑으로 예치, 스왑, 인출 등 암호화폐 관련 기능을 실행했을 때 암호화폐가 특정 지갑으로 전송됐다. 외부 네트워크망이 공격을 받아 이용자 요청이 공격자 서버로 연결되고, 악성코드가 다운로드된 것이 원인이다. 클레이스왑 프론트 엔드 소스코드와 스마트 컨트랙트의 결함, 보안 문제는 아니라고 덧붙였다.
오지스는 "(해커가)클레이스왑 사이트에 로딩되는 카카오 SDK 스크립트를 변경해 기존 클레이스왑 코드의 동작을 방해하고 자신의 코드가 실행되도록 하는 형태로 악성코드를 제작했다"고 설명했다.
오지스는 총 325개 지갑에서 비정상 거래 407개가 이뤄진 것을 확인했다. 현재 파악된 피해 규모는 약 22억원 상당의 암호화폐다.
관련기사
- 최대 디파이 클레이스왑서 이용자 코인 '블랙홀 지갑'으로 사라져2022.02.03
- 영국 "디파이 금융 수익도 과세 가능"2022.02.03
- 디파이 클레이파이, 출시 1주 만에 예치자산 900억원 돌파2021.08.03
- 블록체인 스타트업에 돈 몰린다..."2분기 5.6조원 투자유치"2021.07.23
회사는 "관계사와 긴밀한 협의를 통해 문제 원인을 정확히 파악하고 방안을 도출할 예정"이라며 "각각의 거래를 조회해 관련 보상 지급을 준비할 것"이라고 밝혔다.
비정상 출금이 발생한 이후 클레이스왑은 12시30분께 홈페이지 폐쇄 후 점검에 들어갔다. 또 사고 주요 원인으로 파악되는 카카오 SDK 파일 제거 및 소스코드 전반을 점검했다. 이후 홈페이지를 정상화한 뒤 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료했다.