짐보스 프로토콜(Jimbos Protocol)이 해킹으로 이더리움을 도난당하는 피해를 입었다.
블록체인 보안업체 펙실드 등은 “짐보스 프로토콜이 최근 해킹 공격을 받아 막대한 자금 손실을 입었다”고 보도했다.
보도에 따르면 아비트럼 시스템의 유동성 프로토콜인 짐보스 프로토콜은 시세 조작을 이용한 해킹인 플래시론 공격을 받았다. 아비트럼은 이더리움의 스마트 계약 기능을 강화한 레이어2(L2) 솔루션이다.
플래시론 공격은 블록체인 내 블록 1개가 생성되는 시간 안에 이루어지는 무담보 대출 및 상환을 말한다. 플래시론 공격은 디파이(DeFi, 분산 금융) 프로토콜을 통해 스마트 컨트랙트를 이용해 플래시론을 취득하는 방식으로 이뤄진다.
이번 공격으로 짐보스 프로토콜은 4000여개의 이더리움(ETH)을 빼앗기는 손실을 입었다. 이는 약 750만달러(99억6000만원)의 가치가 있다.
특히 해커는 유동성 전환에 대한 슬리피지 콘트롤이 없다는 점을 이용한 것으로 파악됐다.
프로토콜의 유동성은 동일할 필요가 없는 가격 범위에 투자되기 때문에 공격자가 자신의 이익을 위해 스왑 주문을 역으로 바꿀 수 있는 허점이 있다.
해커들은 아비트럼 네트워크에서 총 4090개의 이더리움을 추출했다. 이후 스타게이트 브리지와 셀러 네트워크를 활용해 이더리움 네트워크에서 약 4048개의 이더리움을 전송했다.
짐보스 측은 오일러 파이낸스, 센티멘트 해킹을 해결하는 데 도움을 준 여러 온체인 분석가와 보안 전문가에 연락 중인 것으로 전해진다.
오일러 파이낸스는 지난 3월 플래시론 공격으로 ERC-20 토큰 등 약 1억9500만 달러를 탈취 당했다. 이는 암호화폐 업계에서 2023년 최대 해킹 피해 금액으로 기록됐다.
오일러 파이낸스는 자금 탈취가 발생한 후 익스플로잇 공격자와 협상을 시도하며 24시간 이내에 탈취한 자금의 90%를 반환하지 않으면 법적 처벌을 받을 수 있다고 경고했다.
이후 해커들은 온체인 메시지를 통해 오일러 파이낸스와 합의하고 싶다는 의사를 밝혔고, 오일러 파이낸스는 탈취금 대부분을 회수하는데 성공했다.
짐보스 프로토콜은 트위터를 통해 해킹 피해 사실을 공개하면서 “내일 오후 4시까지 해킹 피해가 해결되지 않을 경우 법 집행 기관과 협업을 시작할 예정”이라고 안내했다.