이더리움 토큰 표준과 관련된 취약점을 노린 공격으로 한 중국 탈중앙금융(Defi·디파이) 플랫폼에서 2천500만 달러(약 300억원) 규모의 암호화폐가 탈취되는 사고가 발생했다.
19일(현지시간) 디크립트 등 블록체인 전문 외신들은 중국 디파이 프로토콜 '디포스'에서 이더리움 ERC777 토큰 표준과 관련된 보안 취약점을 이용한 공격이 발생했다고 보도했다.
이번 해킹 사고로 디포스는 보유 자산의 99%인 2천500만 달러 규모의 이더리움(ETH)과 비트코인(BTC)을 도난당했다.
하루 앞서 발생한 탈중앙 암호화폐 거래소 '유니스왑' 도 지난 18일 30만 달러(약 3억7천만원) 규모의 암호화폐를 도난 당했으며, 사고는 'imBTC'라는 토큰을 연동한 유니스왑 스마트 컨트랙트에서 발생했다. imBTC는 비트코인과 1대 1로 가치가 교환되는 이더리움 토큰으로 토큰론(TokenIon)이라는 업체가 발행·운영한다.
디포스는 역시 지난 1월 imBTC와 연동을 시작했으며, 관련 부분에서 해킹 사고가 난것으로 보고 있다.
토큰론은 자사 블로그를 통해 두 사고에 대해 "우리가 아는 한 ERC777 토큰 표준에는 보안 취약점이 없다. 하지만 ERC777 토큰 사용과 유니스왑·렌드프닷미 컨트랙트의 조합으로 재진입 공격이 가능하다"고 설명했다.
재진입 공격은 스마트컨트랙트의 취약점을 이용해 '출금'을 반복적으로 호출해 암호화폐를 빼내가는 공격이다.
추가 공격을 막기 위해 서비스를 모두 중단한 상태다. 토큰론 또한 imBTC토큰의 모든 트랜잭션을 중단했다.
결국 시스템이 복잡해질수록 취약점은 생길 수 밖에 없고 점점 답이 없어지는데..
암호화폐 자체가 안전하다고 해도 거래소나 부가기능 보안이 취약하면 말짱 도루묵 ㅋㅋ