3일 클레이튼 기반 탈중앙화금융(디파이·Defi) 플랫폼 클레이스왑에서 비정상적인 경로로 토큰이 전송된다는 제보가 속출했다.
이와 관련해 클레이스왑 측은 사이트를 임시 폐쇄 조치하고 복구에 나섰다.
이날 오후 12시 30분께 클레이스왑 사이트에서 약 1시간 동안 코인이 새로 생성된 지갑 주소로 흘러들어가는 사고가 발생했다.
클레이스왑은 카카오의 블록체인 플랫폼 클레이튼 기반 디파이(탈중앙화금융) 서비스로, 예치 금액이 20억 달러(약 2조 4천억원) 규모이다.
중개기관 없이 코인을 스왑할 수 있으며 유동성 풀에 코인을 예치해 이자를 받는 등 각종 디파이 서비스를 제공하고 있다.
클레이튼 기반 디파이 서비스인 스왑스캐너 측은 공지를 통해 “정상적인 컨트랙트가 아닌 아마도 해킹 공격자에 의해 새로 생성된 컨트랙트로 흘러들어가는 비정상 트랜잭션”이라고 밝히며, “클레이스왑 LP 등 컨트랙트 자체가 공격받은 부분은 아니고 클레이스왑 사이트가 해킹 당한 상황으로 추측된다”고 전했다.
즉 일반적인 경로와 달리 해킹 공격자가 만든 가짜 지갑으로 자금이 흘러들어 갔을 것이란 추측이었다.
클레이스왑 측은 “사이트 오류 관련 원인을 파악해 전체 서비스 정상화를 위한 작업을 진행하고 있다. 사이트 정상화가 완료되어 안정적으로 전체 서비스를 이용할 수 있는 경우 공지를 통해 다시 업데이트 드리도록 하겠다”고 밝혔다.
오늘(4일) 클레이스왑 측은 전날 발생한 비정상 출금에 대한 안내문을 발표하면서, 해킹으로 총 22억원 규모의 암호화폐가 탈취됐으며 사고 원인 파악 후 보상안을 마련할 계획이라고 알렸다.
해당 안내문에 따르면 비정상 출금은 지난 3일 11시31분 경 처음 발생했다고 한다.
이용자가 클레이스왑으로 예치, 스왑, 인출 등 암호화폐 관련 기능을 실행했을 때 암호화폐가 특정 지갑으로 전송이 된 것.
외부 네트워크망이 공격을 받아 이용자 요청이 공격자 서버로 연결되고, 악성코드가 다운로드된 것이 원인이다.
다만 클레이스왑 프론트 엔드 소스코드와 스마트 컨트랙트의 결함이나 보안 문제는 아니라고 강조했다.
클레이스왑 개발사 오지스는 “(해커가)클레이스왑 사이트에 로딩되는 카카오 SDK 스크립트를 변경해 기존 클레이스왑 코드의 동작을 방해하고 자신의 코드가 실행되도록 하는 형태로 악성코드를 제작했다”고 설명했다.
오지스는 총 325개 지갑에서 비정상 거래 407개가 이뤄진 것을 확인했으며, 현재 파악된 피해 규모는 약 22억원 상당에 달하는 암호화폐다.
또한 오지스는 “관계사와 긴밀한 협의를 통해 문제 원인을 정확히 파악하고 방안을 도출할 예정이다. 각각의 거래를 조회해 관련 보상 지급을 준비할 것”이라고 전했다.
한편, 어제(3일) 비정상 출금이 발생한 이후 클레이스왑은 12시30분께 홈페이지 폐쇄 후 사고 주요 원인으로 파악되는 카카오 SDK 파일 제거 및 소스코드 전반을 점검했다.
이후 홈페이지를 정상화한 뒤, 문제의 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 마친 상태다.