"접근제어 무력화"… 권한 오류 파고든 정교한 공격
밸런서 "모든 거래 중단… 복구 작업 돌입"
해킹 여파로 이더리움 7% 급락
[서울=뉴스핌] 고인원 기자= 이더리움(ETH) 기반의 대표 디파이(DeFi·탈중앙화 금융) 플랫폼 '밸런서(Balancer)'가 또다시 대규모 해킹을 당했다.
3일(현지시간) 블록체인 데이터업체들에 따르면, 밸런서에서는 1억달러(약 1400억원)가 넘는 디지털 자산이 외부 공격자에게 탈취됐다. 밸런서는 "시스템 내 익스플로잇(exploit·취약점 공격)이 발생했다"며 "현재 정밀 조사를 진행 중"이라고 밝혔다.
이번 사건은 밸런서가 2020년과 2023년에 이어 세 번째로 해킹 피해를 입은 사례로, 디파이 시장의 고질적 보안 취약성을 다시 드러냈다.
 |
◆ "접근제어 무력화"… 권한 오류 파고든 정교한 공격
보안 전문가들은 이번 해킹이 밸런서 시스템의 '접근제어(access control)' 부분을 교묘하게 파고든 정밀한 공격이었다고 설명한다. '접근제어'란 사용자가 시스템 안에서 어떤 행동을 할 수 있는지를 확인하는 보안 장치로, 예를 들어 일반 사용자가 관리자 권한을 갖지 못하도록 막는 역할을 한다.
그런데 해커는 이 과정의 코드 오류를 찾아냈다. 정상적인 이용자처럼 보이게 하는 가짜 신원(op.sender) 값을 집어넣어시스템이 "이 사람은 접근해도 된다"고 착각하게 만든 뒤, 여러 개의 유동성 풀(이용자들이 예치한 자금을 모아둔 곳)에서 돈을 한꺼번에 빼냈다. 이 돈은 순식간에 해커가 새로 만든 개인 지갑으로 옮겨졌다.
피해 금액은 약 1억1700만달러(약 1600억원)에 달한다. 특히 이더리움을 예치해 이자를 받는 stETH(스테이킹 이더리움) 관련 자금풀이 집중적으로 공격을 받았다.
보안업체 사이버스의 데디 래비드 최고경영자(CEO)는 블룸버그 통신과의 인터뷰에서 "밸런서 내부의 권한 관리 체계가 무너져 공격자가 마음대로 잔액을 바꿀 수 있는 상태가 됐다"고 분석했다.
암호화폐 전문매체 크립토슬레이트(CryptoSlate)도 "밸런서는 이미 10번 이상 보안 감사를 통과한 검증된 시스템이지만, 결국 해커는 사람이 미처 발견하지 못한 아주 미세한 코드의 빈틈을 이용했다"며 "이는 디파이(탈중앙화 금융)의 보안이 아직 완벽하지 않다는 사실을 보여준다"고 지적했다.
◆ 밸런서 "모든 거래 중단… 복구 작업 돌입"
밸런서 측은 "일시 중단이 가능한 모든 거래를 멈추고 복구 작업에 들어갔다"며 "지속적으로 외부 보안 점검과 보상 프로그램(버그바운티)을 운영해왔지만, 이번에는 공격이 예상보다 정교했다"고 밝혔다.
회사 측은 "보안팀을 사칭한 피싱 메시지가 퍼지고 있다"며 이용자들에게 주의를 당부했다. 또 해킹 경로와 피해 규모를 분석한 사후 보고서(post-mortem)를 곧 공개할 계획이다.
밸런서와 연계된 베라체인(Berachain), 그노시스(Gnosis), 소닉(Sonic), 비피(Beefy) 등 다른 프로젝트들도
피해 확산을 막기 위해 일부 서비스를 중단하거나 자금을 임시로 동결했다.
◆ 해킹 여파로 이더리움 7% 급락
밸런서 해킹 소식이 전해지자 이더리움 가격이 급락했다. 4일 오후 5시 10분 기준 이더리움은 3466달러로, 24시간 전에 비해 6.8% 급락했다. 이는 8월 24일 기록한 최고가(4953달러)보다 약 30% 낮은 수준이다.
같은 시간 비트코인은 3.28% 하락한 10만4185달러를 기록했다.
CNBC는 "최근 트럼프 대통령이 중국의 희토류 수출 제한에 맞서 추가 관세를 예고하면서 투자자들이 가상화폐에서 금 등 안전자산으로 이동하고 있다"며"여기에 밸런서 해킹이 겹치면서 위험자산 전반의 매도세를 키웠다"고 분석했다.
koinwon@newspim.com
