닫기

글로벌이코노믹

커브 파이낸스 풀 해킹, '재진입 버그'로 1억달러 피해 추정

글로벌이코노믹

증권

공유
1

커브 파이낸스 풀 해킹, '재진입 버그'로 1억달러 피해 추정

30일(현지시간) 바이퍼를 사용하는 커브 파이낸스의 여러 스테이블 풀이 해킹 피해를 입어 최소 약 4200만달러가 악용됐다. 출처=트위터이미지 확대보기
30일(현지시간) 바이퍼를 사용하는 커브 파이낸스의 여러 스테이블 풀이 해킹 피해를 입어 최소 약 4200만달러가 악용됐다. 출처=트위터
이더리움의 탈중앙화 금융(DeFi)의 중심에 있는 스테이블코인 거래소 커브(Curve)가 '재진입' 버그 발생으로 최대 1억 달러(약 1276억원)를 탈취당했다고 코인데스크와 코인텔레그래프가 30일(현지 시간) 보도했다.

커브 파이낸스는 30일 트윗을 통해 커브 시스템의 일부를 구동하는 데 사용되는 프로그래밍 언어인 바이퍼(Vyper)의 재진입 버그로 해킹 피해를 입었다고 밝혔다.
초기 조사에 따르면 피해액은 약 4200만달러였으나, 조사가 진행되면서 피해 금액은 최대 1억 달러로 늘었다.

블록체인 감사 회사인 블록섹(BlockSec)은 트위터에 게시된 예비 분석에서 총 손실액을 4200만 달러 이상으로 추정했다.
바이퍼 버전 0.2.15, 0.2.16 및 0.3.0은 오작동하는 재진입 잠금에 취약한 것으로 알려졌다.

코인데스크는 바이퍼 프로그래밍 언어를 사용하는 다른 프로젝트도 동일한 취약점에 노출될 수 있다고 우려했다.

바이퍼는 트위터(현재 'X')에 "조사가 진행 중이지만 이 버전에 의존하는 모든 프로젝트는 즉시 우리에게 연락해야 한다"고 밝혔다.

보안 회사 안킬라(Ancilia)의 계약 분석에 따르면 136개의 계약이 재진입 보호 기능이 있는 바이퍼 0.2.15(Vyper 0.2.15)를 사용했다. 그 외에 98개의 계약이 Vyper 0.2.16을, 226개의 계약은 Vyper 0.3.0을 사용했다.

초기 조사에 따르면 재진입 공격은 잠재적으로 계약에서 모든 자금을 고갈시킬 수 있다.

바이퍼는 이더리움 가상머신(EVM, Ethereum Virtual Machine)을 대상으로 하는 컨트랙트 지향의 파이썬(Python) 프로그래밍 언어다. 바이퍼는 파이썬과 유사하기 때문에 파이썬 개발자가 웹 3.0으로 뛰어들 때 시작점으로 삼는 언어 중 하나로 사용된다.

아울러 다수의 탈중앙 금융 프로젝트가 이 공격의 영향을 받았다.

탈중앙화 거래소 엘립시스(Ellipsis)는 오래된 바이퍼 컴파일러를 사용해 소수의 BNB 스테이블 풀이 탈취됐다고 보고했다.

알케미믹스의 alETH-ETH도 1360만 달러가 유출되었으며, JPEGd의 pETH-ETH 풀에서 1140만 달러, 메트로놈의 sETH-ETH 풀에서 160만 달러가 악용됐다.

커브 파이낸스의 마이클 에고로프 CEO는 텔레그램 채널을 통해 스왑 풀에서 2200만 달러가 넘는 3200만 개의 CRV 토큰이 유출된 것을 확인했다.

이번 탈취 사건으로 커브 다오(Curve DAO)의 기본 토큰인 CRV의 거래 시장이 불안정해졌다. 30일 CRV 토큰은 17% 급락해 0.61달러로 마감했다.


김성은 글로벌이코노믹 기자 jade.kim@g-enews.com

[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.