30일(현지시간) 외신에 따르면, 전문 보안 업체 비오신, 블록섹 등의 분석 결과 스테이블코인 거래 최적화 탈중앙화 거래소(DEX) 커브파이낸스(CRV) 내 팩토리 풀(Factory pools)이 익스플로잇(취약점 공격)에 노출된 것으로 드러났다.
블록섹은 이번 보안 사고로 발생한 자금 유출액을 4,100만 달러 이상으로 추산했다.
‘팩토리 풀’은 표준화된 프레임워크 또는 ‘팩토리’를 활용해 프로젝트나 개인이 직접 자체 유동성 풀을 출시할 수 있는 시스템이다.
이와 관련해 암호화폐 마켓메이킹 업체 윈터뮤트 소속 리서치 총괄 이고르 이감베르디예프는 “커브의 이번 익스플로잇은 팩토리 풀 코드 작성에 사용되는 스마트 컨트랙트 프로그래밍 언어 바이퍼의 구버전 컴파일러에 존재하는 재진입 취약점이 타깃이 됐다”고 진단했다.
이에 바이퍼 측은 0.2.15, 0.2.16, 0.3.0 버전 컴파일러에 재진입 취약점이 존재한다며 자체 조사를 진행 중이라고 전했다. 바이퍼는 팩토리 풀 코드 작성에 사용되는 스마트 컨트랙트 프로그래밍 언어다.
31일 펙쉴드의 분석에 따르면, 커브 바이퍼 버그로 인해 현재까지 알케믹스, JPEG’d, MetronomeDAO, deBridge, Ellipsis, 커브 CRV-ETH에서 총 $5200만(663억 2,600만 원) 피해가 발생한 것으로 나타났다.
이어 커브 해커 c0ffeebabe.eth가 2879 ETH($540만)를 커브 측에 반환했다고 전했다.
또한 이날 디파이라마의 데이터 상 이번 해킹 영향으로 커브 파이낸스 TVL이 7월 30일 기준 $32.66억에서 현재 $18.69억으로 크게 감소한 것으로 집계됐다.
한편, 커브 파이낸스 측은 오늘 새벽 “이번 공격 피해자는 바이퍼(vyper) 버전, 순수 ETH를 사용한 유저 뿐”이라며, “crvUSD 컨트랙트 및 관련 풀은 피해를 입지 않았다”고 밝혔다.