20일 메이저 암호화폐 마켓메이커 윈터뮤트의 설립자 예브게니 개보이는 자신의 트위터를 통해 “디파이 해킹 공격으로 약 1.6억달러 피해를 입었다”고 알렸다.
다만 그는 “해킹된 90개 자산 중 단 2개만 피해액이 100만달러를 넘어서며, 250만달러를 넘어서는 피해 사례가 없기 때문에 특정 코인의 대규모 매도는 없을 것”이라고 설명했다.
이어 “가능한 한 빨리 피해 팀과 소통에 나설 것”이라고 덧붙였다. 이밖에 씨파이(Cefi), OTC 작업은 해킹 피해를 받지 않은 것으로 드러났다.
같은 날 이더스캔에 따르면, 윈터뮤트 해커 추정 월렛 주소에서 약 994만 달러 규모의 6,927 ETH를 보유하고 있는 것으로 나타났다. 이외에도 약 1300만 달러 규모 671.24 WBTC, 397 USDP, 178.96만 CUBE, 5.9만 MPL, 102만 CRV, 217만 YGG 등 총 3825만 달러 규모의 ERC-20 토큰을 보유하고 있었다.
또 해당 월렛은 국내시간 기준 20일 14시 40분경 커브DAI/USDC/USDT 풀에서 유동성을 추가해 1.1억 3Crv를 획득하기도 했다.
이와 관련해 보안업체 슬로우미스트에 따르면, 윈터뮤트 해킹 외부 계정 월렛은 이더리움 가상주소 생성기 프로패니티(Profanity)를 통해 생성된 월렛이었다.
앞서 탈중앙화 거래소(DEX) 애그리게이터 1인치(1INCH)는 프로패니티에 심각한 취약점이 존재한다고 주장한 바 있다.
이날 1.6억달러 규모 해킹 피해를 입은 윈터뮤트가 출시한 DEX 비밥(Bebop)은 공식 트위터를 통해 “비밥에 유동성을 제공하는 윈터뮤트가 오늘 해킹을 당했다”면서, “우리는 거래를 당분간 중단하며, 수일 내 재개할 예정”이라고 발표했다.
이어 “비밥 컨트랙트는 이번 공격의 영향을 받지 않았으며, 이용자 자금은 안전히 보관돼 있다”고 강조했다.
또한 이날 윈터뮤트 해킹을 두고 암호화폐 및 블록체인 전문 보안업체 블록섹(BlockSec)은 “윈터뮤트 해킹의 원인은 유출된 개인키 때문”이라며, “공격자는 유출된 개인키를 통해 권한을 얻고 스왑 컨트랙트를 제어할 수 있게 만든 뒤, 자산을 해당 컨트랙트로 이전했을 것”이라고 진단했다.
한편, 20일(현지시간) 코인데스크는 1.6억달러 규모 해킹 피해를 입은 윈터뮤트가 여러 기업에 2억 달러 이상의 미결제 디파이 부채를 보유하고 있다고 보도했다.
규모가 가장 큰 부채는 약 한달 뒤 10월 15일에 만기 예정인 트루파이(TrueFi)가 발행한 9200만 달러 USDT 대출이다.
이밖에 메이플 파이낸스(Maple Finance)가 발행한 총 7500만 달러 상당의 USDC 및 WETH 부채 그리고 클리어풀이 발행한 2240만 달러 부채가 포함됐다.