9일(현지시간) 스테이블코인 거래 플랫폼 커브 파이낸스(Curve Finance)가 공식 트위터를 통해 해커 공격을 받아 57만 달러(7억 4,578만 8,000 원) 상당의 피해를 입었다고 전했다.
커브 측은 “해커 공격으로 서비스의 네임서버 및 프런트엔드가 영향을 입었다”며 “익스플로잇(취약점 공격) 소스를 찾고 있다. 추가 공지가 있기까지 사이트 사용을 중단해 달라”고 설명했다.
이어 “스왑 및 거래를 승인하지 마라. 최근 몇시간 사이 프로토콜을 승인한 것이 있다면 즉시 이를 취소하라”고 당부했다.
아울러 이날 암호화폐 거래소 픽스드플로우트(FixedFloat)는 트위터를 통해 “커브 도난 자금 중 112 ETH가 우리 거래소로 이체 돼 이중 일부를 동결했다”고 전했다.
또 암호화폐 추적업체 미스트트랙은 “커브가 도난 당한 60만달러 이상 자금 중 대부분은 픽스드플로우트로 이체됐고 일부는 토네이도캐시와 사이드시프트.ai로 전송됐다”고 밝혔다.
한편, 10일 거래량 기준 세계 최대 암호화폐 거래소 바이낸스의 자오창펑 CEO는 자신의 트위터를 통해 “커브 파이낸스의 도메인네임시스템(DNS)이 하이재킹 공격으로 57만 달러 규모의 피해를 입었다”고 언급헀다.
이어서 “커브 파이낸스는 안전하지 않은 (미국) 도메인 제공업체 고대디(GoDaddy) DNS를 사용하고 있다”며 “어떤 웹3 프로젝트도 고대디를 사용하면 안된다”고 지적했다.
CZ는 “고대디는 늘 사회 공학적 공격(social engineering)에 취약하다”고 재차 강조했다.