디파이(DeFi) 네트워크에서 ‘플래시론(flash loan)’으로 인한 해킹 사건이 또 발생했다.
암호화폐 매체 디크립트(Decrypt)는 이더리움 기반 스테이블코인 프로토콜 기업 ‘빈스토크 팜스(Beanstalk Farms)’가 최근 총 1억8200만 달러(약 2248억8800만 원)가 유출되는 해킹 피해를 입었다고 19일(현지시간) 보도했다. 이는 디파이 해킹 사건 중 역대 4위 규모다.
보안 전문 업체 펙실드(PeckShield)에에 따르면 해커는 이더리움 기반 프로젝트에서 8000만 달러를 뺏어갔다.
나머지는 탈중앙화 거래소 유니스왑 및 대출 플랫폼 에이브와 같은 분산형 거래소 및 대출 서비스에 대한 수수료를 지불하는 방식으로 피해를 입었다.
빈트토크 팜스 측은 아직 해킹의 가장 큰 피해를 입은 이용자에 대한 내용을 공개하지는 않았다.
이번 해킹은 플래시론(flash loan)으로 이뤄진 것으로 밝혀졌다. 플래시론이란 블록체인의 블록 1개가 만들어지는 짧은 시간 안에 무담보로 대출을 받고 상환하는 것을 말한다.
디파이 서비스 중 대부분이 가상자산을 담보로 또 다른 가상자산을 대출하는 형태가 많은데, 플래시론을 이용할 경우 무담보로 대출을 받은 후 즉시 상환하는 방식이다.
플래시론을 통해 가상자산을 대출받은 후, 대출받은 금액을 이용해 디파이 서비스에서 가격을 조작한다. 이후 대출받은 금액을 상환하고 중간 과정에서 일으킨 가격 조작을 통해 해커는 차익을 얻게 됐다.
이번 범행에서 해커는 ‘거버넌스토큰(Governance token)’의 허점을 이용해 범죄를 저지른 것으로 파악됐다.
거버넌스토큰이란 해당 플랫폼에서 의사결정에 필요한 의결권을 행사할 수 있는 토큰이다.
해커는 플래시론을 통해 빈스토크의 기본 거버넌스토큰 ‘스토크(Stalk)’를 대량으로 구매한 뒤, 부여된 의결권을 통해 프로토콜 자금을 개인 이더리움 지갑으로 유출하는 의사결정을 통과시켰다.
빈스토크 팜스는 “스마트 계약은 블록체인 보안 업체 옴니시아(Omnicia)에 의해 감사를 받았지만, 플래시론에 의한 취약점이 발견되기 이전에 진행돼 피해를 입었다”고 설명했다.
이어 “디파이 커뮤니티와 체인 분석 전문가에게 중앙 집중식 거래소를 통해 자금을 인출할 수 있는 해커 능력을 제한하는 데 도움을 요청하고 있다”며 “해커와의 협의는 열려있다”고 전했다.