디파이 프로토콜 그림 파이낸스, 3000만달러 해킹 피해

디파이 프로토콜 그림 파이낸스가 보안 결함으로 3000만 달러의 해킹 피해를 입었다.

코인텔레그래프는 20일9현지시간) 탈중앙화 금융(DeFi) 프로토콜 그림 파이낸스(Grim Finance)는 플랫폼의 예금 재진입 결함으로 인해 3000만달러(약 357억 원)의 손실을 입었다고 보도했다.
그림 파이낸스는 지난 18일 '외부 공격자'가 디파이 플랫폼을 악용해 '3000만 달러'가 넘는 암호화폐를 훔쳤다고 공식 발표했다.

그림 파이낸스에 따르면 이번 해킹은 공격자가 5개의 재진입 루프를 통해 프로토콜의 볼트 계약을 악용해 플랫폼이 첫 번째 입금을 처리하는 동안 5개의 추가 입금을 금고에 위장하는 '선진 공격'이었다.

그림은 "미래 자금이 위험에 처하지 않도록 모든 금고를 일시 정지시켰으니 즉시 모든 자금을 인출해 달라"고 말했다.

또한 그림은 서클(USDC), 다이(DAI), 크로스체인 프로토콜 애니스왑 등 주요 암호화폐 운영에 관여한 기업들에게도 추가 자금 이체를 동결하기 위해 공격자 주소에 대해 통보했다고 언급했다.

그림 파이낸스는 디파이(DeFi)에 중점을 둔 블록체인 프로토콜인 팬텀(Fantom)을 기반으로 구축된 '복합 수익률 최적화 프로그램'으로 자신을 포지셔닝하여 사용자가 복잡한 볼트 전략을 사용하여 유동성 공급자 토큰을 스테이킹할 수 있도록 한다.

팬텀(FTM) 블록체인 익스플로러 데이터에 따르면 그림 파이낸스 익스플로잇은 19일에도 거래를 계속했다. 이번 익스플로잇과 관련된 주소 중 하나는 120만 달러의 비트코인(BTC), 170만 달러의 스푸키토큰(BOO)과 1만3700달러의 FTM 토큰을 보유하고 있다.


암호화폐 커뮤니티 일각에서는 그림 파이낸스가 제대로 된 재진입 보호 툴을 채택하지 않았기 때문에 이번 해킹에 대한 책임을 져야 한다는 의견도 나왔다. DeFi 보안 플랫폼 Rugdoc.io은 이 프로토콜이 사용자에게 "필요 이상의 권한을 부여했다"고 주장했다.

해커들이 앞다퉈 신흥 암호화폐 산업의 결함을 악용하는 가운데 디파이의 인기가 높아지면서 암호화폐 업계에 새로운 도전이 잇따르고 있다. 12월 2일, DeFi 프로토콜 배저다오(BadgerDAO)는 1억2000만달러(1431억 원)를 도난당했다.


김성은 기자

[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.