미국 최대 가상자산 거래소 코인베이스가 해킹으로 얻은 이익을 피해자에게 돌려주지 않고 있다는 지적이 나왔다.
16일(이하 현지시간) 코인데스크에 따르면 앞서 코인베이스는 지난 7월 발생한 탈중앙화금융(DeFi, 디파이) 프로토콜 ‘커브 파이낸스’ 해킹으로 100만 달러(약 13억 2000만원)의 이익이 생겼다.
이 공격으로 커브는 약 7300만달러(약 958억원) 이상을 탈취당했는데, 커브 측이 해커의 신원을 찾아내는 사람에게 탈취 자금의 약 10%(185만달러)를 현상금으로 내걸고 수색에 나서면서 해커가 일부를 반환하는 등 피해액 중 상당 금액이 회수됐다.
이때 회수되지 않은 금액 가운데 100만 달러 가량이 코인베이스로 흘러들어간 것으로 추정된다. 해커들이 탈취한 자산 중 100만 달러를 코인베이스로 이체해 이더리움으로 환전했기 때문이다.
하지만 코인베이스는 이 같은 방식으로 흘러들어 온 이더리움에 대한 피해액 회수에 협조하지 않고 있는 것으로 전해진다.
디파이 대출 기업 알케믹스는 “코인베이스는 해킹으로 얻은 100만 달러의 이익을 돌려달라는 요청을 거부했다”면서 “배상할 법적 근거가 없다는 것이 이유”라고 지적했다.
업계에서는 이러한 사례가 복잡한 가상자산 거래 알고리즘으로 인해 도난된 자금의 이동은 추적이 어렵다는 점으로 발생할 수 있는 문제를 보여주고 있다고 보고 있다.
한편, 커브 파이낸스 해킹은 자체 스테이블풀(stablepool) 중 프로그래밍 바이퍼의 0.2.15, 0.2.16, 0.3.0 버전에서 재진입 공격을 받아 가상자산을 탈취당하는 방식으로 일어났다.
이번 해킹은 커브 웹사이트를 통해 접속한 이용자들을 다른 곳으로 유도하는 방식으로 이뤄졌다. 해커들은 57만달러 어치의 이더리움을 훔친 뒤 픽스드플로트(FixedFloat) 거래소로 옮겨 자금세탁 과정을 거친 것으로 추정된다.
해킹 피해를 매꾸는 데는 저스틴 선(Justin Sun) 트론 설립자들의 도움도 컸다. 저스틴 선 설립자는 커브 탈취 이후 200만 달러 규모로 커브토큰을 매수하며 생태계 지원 의사를 알렸다.