암호화폐 전문매체 코인텔레그래프에 의하면 바이낸스 스마트체인 기반 탈중앙화 금융 프로토콜인 우라늄 파이낸스(Uranium Finance)가 해킹공격을 받으면서 5천만 달러 이상의 자금을 탈취당했다고 보도했다.
개발팀의 한 직원은 최근의 플랫폼 해킹이 내부에서 비롯되었을 것으로 추측하면서 논란이 일고 있다.
그러면서 이로 인한 영향을 받은 사용자들에게 우라늄 금융팀의 다른 멤버들과 접촉하지 말 것을 촉구했다.
프로젝트 개발팀의 한 구성원에 따르면 바이낸스 스마트 체인의 디파이 프로토콜인 우라늄 파이낸스의 5천만 달러 착취는 내부 작업이었을 수 있다고 알려졌다.
이는 관리자 목록에 있는 것으로 보이는 ‘베이맥스(Baymax)’라는 사용자가 우라늄 파이낸스의 텔레그램 채널에 제안한 것이다. 베이맥스는 “고정된 게시물에서 공격으로 이어지는 보안 결함이 프로토콜 버전 2가 시작되기 불과 2시간 전에 발생했다”고 설명했다. 의심이 가는 착취 시점은 잠재적 가해자 명단을 대폭 축소했다.
또한 그는 “우라늄에는 총 7명의 사람들이 이 사건에 대해 알고 있다. 우라늄 외에 이 결함을 알고 있는 3명의 감사 계약자와 각 하청업체가 있을 것이다”라고 설명했다.
그리고 계속해서 “커뮤니티 입력과 함께 수집한 정보에서 누군가가 정보를 유출하여 공격자들이 우리의 취약점을 발견하도록 유도하는 경향이 있다”라고 말했다. 우라늄 파이낸스의 공식 웹사이트에는 팀원이 하나도 없기 때문에, 어떻게 착취가 일어났는지 혹은 누가 책임을 지었는지에 대해 더 이상 추측하기는 어려운 상황이라 상황은 난관에 빠졌다.
베이맥스는 텔레그램 채널의 4,100명 이상의 회원들에게 직접 메시지를 전달하고 다른 진행자나 팀원들과의 접촉을 피하라고 촉구했다. 그러면서 영향을 받은 사용자들도 유동성 추가를 중단하고 가능하다면 현금화해달라고 요청했다.
해킹 피해자들을 위한 별도의 텔레그램 그룹이 이미 만들어졌으며, 회원 수는 1,200명이 넘었다. 베이맥스는 고정된 메시지에서 영향을 받는 사용자들에게 그들이 오는 대로 추가 업데이트를 제공할 것이라고 말했다. 그들은 “[W]헤일즈나 $300,000 이상의 손실을 입은 사용자는 우리에게 PM해야 한다”고 말했다.
가해자가 이더리움 기반 개인정보보호 툴인 토네이도캐시를 통해 수백만 명을 펀딩하면서 빼돌린 자금은 이미 이동 중이다.
보안 악용과 해킹은 암호화폐 커뮤니티에 새로운 것이 아니다. 적어도 한 가지 추정에 따르면 2020년 한 해에만 122개의 암호화폐 관련 해킹이 있었으며, 악용된 자산은 현재 가격으로 수십억 달러에 달하는 지경이다.
최근 미어캣 파이낸스가 비슷한 공격을 받은 바 있어 바이낸스 스마트 체인의 해킹에 대한 주의가 필요한 시점이다.