최근 특정 공격자가 ‘토네이도 캐시(Tornado Cash)’ DAO의 거버너스 체제를 완벽하게 통제할 수 있는 권한을 부여하는 데 성공했다.
블록체인 및 암호화폐 전문매체 ‘더블록’이 지난 21일(현지 시각) 보도한 내용에 따르면 ‘토네이도 캐시’는 이더리움에서 암호화폐를 믹싱하는 서비스로, 그동안 미국 재무부의 제재를 받아왔다.
해당 서비스의 거버넌스 체제는 프로토콜 업그레이드를 제어하고 프로젝트의 네이티브 ‘TORN’ 토큰 보유자들이 운영하고 있다.
더블록에 따르면 거버넌스 시스템은 지난 5월 20일 이전에 통과됐던 업그레이드와 유사한 업그레이드를 승인했다.
하지만 트위터에서 ‘Samczsun’이라는 익명의 한 보안 연구자가 밝힌 사실에 의하면 공격자가 추가 기능을 더한 상황이기 때문에 이것은 사실이 아니었다.
업그레이드가 마무리된 후 공격자는 해당 기능을 활용해 120만 표를 추가로 확보했으며 이로써 전체 거버넌스 시스템을 효율적으로 제어할 수 있는 권한을 갖게됐다.
Samczsun에 따르면 공격자는 이 통제권을 유리하게 사용해왔는데, 공격자는 그 즉시 10,000표를 TORN 토큰 형태로 인출한 다음 25,600달러에 전량 판매했고, 나머지 고정된 투표도 전부 빼돌린 것으로 확인됐다.
온체인 분석가 ‘EmberCN’는 총 483,000개의 TORN이 금고에서 탈취됐다고 전했으며, 그들은 6,000 TORN이 가상자산 거래소 ‘비트루(Bitrue)’에 예치되었고, 379,000개는 온체인에서 68만 달러 규모의 이더로 판매됐고, 10만 TORN 미만 정도가 남아있다고 분석했다.
한편 ‘우 블록체인(Wu Blockchain)’ 측은 글로벌 거래소 바이낸스가 TORN의 입출금 서비스를 중단할 것이라고 밝혔고, ‘저스틴 선(Justin Sun)’은 트위터를 통해 ‘후오비(Huobi)’에서 이 토큰의 입출금이 아직 이루어지고 있다고 밝힌 바 있다.