6100만 달러(약 793억5215만원) 이상의 가상자산 탈취 사건이 발생한 탈중앙화금융(DeFi, 디파이) 프로토콜 ‘커브 파이낸스’가 해커 공개 수배에 나섰다.
커브 파이낸스는 7일(현지시간) 트위터(X)를 통해 “커브 해커의 자발적 자금 반환 기한이 만료됐다”면서 “현상금을 공개로 전환한다”고 알렸다.
이어 “해커 신원을 파악할 수 있는 사람들에게 남은 익스플로잇 자금의 10%에 해당하는 185만달러(24억원) 상당의 바운티를 제공하겠다”면서 “다만 해커가 자금을 전액 반환할 경우에는 더 이상 해커를 추적하지 않겠다”고 안내했다.
커브 파이낸스는 스테이블코인 스왑(교환)을 지원하는 디파이 프로토콜로 지난달 30일 프로그래밍 언어 ‘바이퍼’를 이용한 자금 풀을 대상으로 해커의 공격을 받았다.
바이퍼 프로그래밍 언어를 사용하는 다른 가상자산 프로젝트들도 동일한 취약성을 공유할 수 있는 것으로 나타났다.
가상자산 마켓메이킹 업체 윈터뮤트 소속의 이고르 이감베르디예프 리서치 총괄은 “커브의 이번 익스플로잇은 팩토리 풀 코드 작성에 사용되는 스마트 컨트랙트 프로그래밍 언어 바이퍼의 구버전 컴파일러에 존재하는 재진입 취약점이 타깃이 됐다”고 분석했다.
이번 해킹으로 △알케믹스 풀(alETH-ETH) 1360만 달러 △JPEGd 풀(pETH-ETH) 1140만 달러 △메트로놈 풀(sETH-ETH) 160만 달러 규모의 자산이 탈취되는 피해를 입었다.
이후 커브 파이낸스는 해커에 600만 달러(한화 약 78억원)가 넘는 버그바운티를 제안했다.
이에 해커는 제안을 수락하고 탈취한 자산 중 일부를 반납하며 “나를 찾을 수 있어서 자금을 돌려주는 것이 아니라 프로젝트를 망치고 싶지 않아서 돌려주는 것”이라고 온체인 메시지를 남겼다.
하지만 전액 자금을 반환하지는 않으면서 커브파이낸스 측은 해커에 대한 추적을 이어가고 있다.
커브 파이낸스 해킹 사태로 국내 1, 2위 거래소인 업비트와 빗썸이 커브 다오 토큰(CRV)에 대한 입출금을 막았다.
이로 인해 빗썸에서는 한때 CRV 가격이 글로벌과 최대 9배 차이가 나는 ‘가두리 펌핑’ 현상이 또다시 발생하기도 했다.