45초만에 대처했는데도 300만달러 손실
팬케이크버니·하베스트 등 판박이 사고 반복
'플래시론' 사용·유동성 작은 거래소 타깃
[파이낸셜뉴스] 탈중앙금융(디파이, De-Fi) 서비스 중 하나인 가상자산 대출 서비스가 시장의 위협 요인으로 지적되고 있다. 은행 같은 금융기관의 중개없이 프로토콜에 의해 자동으로 대출과 상환이 이뤄지는 디파이의 특성을 악용한 사기대출이 급증하면서 자칫 투자자들의 대규모 피해는 물론 시장이 폭락하는 원인이 될 수 있다는 것이다.
팬케이크버니·하베스트 등 판박이 사고 반복
'플래시론' 사용·유동성 작은 거래소 타깃
이 때문에 전문가들은 "가급적이면 대출을 통해 가상자산에 투자하는 '빚투'는 가급적 삼가하고, 대출형 디파이 서비스를 이용할 때는 플랫폼의 보안 수준과 유동성 규모 등을 꼼꼼히 따져야 한다"고 당부하고 있다.
45초만에 수십억 증발...초 단위 '쩐의 전쟁'
26일 관련업계에 따르면 최근 가상자산 대출형 디파이 플랫폼을 대상으로 하는 '착취(exploit)' 공격이 잇따르고 있다. 착취 공격은 일반적인 해킹과 달리, 단순하고 쉽게 작동하는 디파이 시스템의 약점을 악용해, 담보물이 되는 토큰 값을 순간적으로 높여 거액의 대출을 받아내는 사기대출 수법이다. 공격자가 토큰을 대량 매도하면 가상자산 시세가 폭락해 다른 투자자와 디파이 플랫폼이 막대한 피해를 입게 되는 구조다.
이를테면 아파트 담보대출을 받으면서 인위적 시세조종을 통해 아파트 값을 올려놓은 뒤, 대출금을 인출하고는 시세를 다시 떨어뜨리는 방식이다.
최근 디파이 대출 플랫폼 보그드 파이낸스(Bogged Finance)가 300만 달러(33억6600만원) 규모의 착취공격을 받았다. 보그드 파이낸스 공격자들은 12~13초 이내의 초단기 대출 '플래시론'을 이용한 것으로 알려졌다. 공격자들이 바이낸스 스마트 체인을 기반으로 하는 보그드 파이낸스에 대량의 보그드 자체 토큰 보그(BOG) 매수 주문을 냈고 시세가 급등한 틈을 타 BOG를 담보로 11개의 대출 거래를 성사시켰다. 공격자들은 1만1359 바이낸스코인(BNB)을 대출금으로 인출한 뒤 공격을 끝냈다. 공격이 진행되는 동안 1.8달러(2019원)까지 치솟았던 BOG의 시세는 공격이 끝난 뒤 0.0003달러(0.34원)로 급락했다. 인위적인 시세 끌어올리기 공격이 끝났기 때문이다. 보그드 파이낸스는 이번 사고로 전체 유동성의 절반에 해당하는 300만달러 손해를 입었다.
이같은 사고는 이용자 피해로 이어질 수 밖에 없다. 디파이는 기존 은행과 달리 국가 차원의 구제금융이나 예금 보험, 지급 준비금 등이 없다. 대형 착취 사고가 발생해 모든 예금자가 일시에 예치금을 찾아가는 '뱅크런'이 발생할 경우 일부 이용자는 통장의 예금을 모두 돌려받지 못하는 사고로 이어질 수 있다.
공격 대상이 되는 가상자산 가격이 급락하면 담보로 맡겨진 가상자산을 강제청산 당하는 피해도 발생한다. 주식에서 반대매매와 비슷하다. 이를테면 70%의 담보 인정비율을 가진 대출 플랫폼에 담보가 되는 가상자산 10개를 맡기고 7개를 빌릴 수 있다. 맡긴 가상자산 값이 30% 이상 급락하면 전체 담보를 모두 잃게 된다.
디파이 사기대출 범죄 급증
가상자산 미디어 코인긱에 따르면 지난해 디파이 플랫폼 17곳에서 해킹사고가 발생했고, 1억5400만달러(약 1720억원)에 달하는 피해가 발생했다.
최근에는 컴퓨터 알고리즘으로 간단하게 거액을 대출받을 수 있는 디파이의 장점을 악용한 사기 대출이 주요 사이버 위협으로 등장하고 있다. 보그드 파이낸스 외에도 최근에는 바이낸스 블록체인을 사용하는 또 다른 디파이 플랫폼 팬케익버니(PancakeBunny)도 착취 공격을 당한 바 있다. 팬케익버니 역시 플래시론을 이용한 착취 공격을 당했으며 공격자에게 빠져 나간 금액이 무려 2억달러(2244억원) 이상인 것으로 알려졌다.
지난해 10월에는 하베스트 파이낸스가 플래시 론을 악용한 공격을 받았고 총 3380만달러(379억670만원)의 피해가 발생했다. 11월에도 아크로폴리스(Akropolis) 치즈뱅크(Cheese Bank) 오리진 프로토콜(Origin Protocol) 등에서 330만~700만달러 규모의 사고가 발생했다.
사기대출 피해를 입은 담보 코인이 급락해 다른 투자자들의 대출이 일시에 청산될 경우 가상자산 시장 전체가 폭락하는 참사로 이어질 수도 있다. 25일(현지시간) CNBC는 "지난주 발생한 가상자산 시장 폭락의 원인이 투자자들의 과도한 레버리지와 대출이 일시에 청산된 것"이라고 진단했다. 미국·중국의 규제 발표나 일론 머스크의 돌출 트윗보다 일시적 대출 청산이 시장 폭락에 더 큰 영향을 줬다는 것이다.
디파이 대출 플랫폼 이용자, 유동성 규모 꼼꼼히 살펴야
가상자산 시장 전문가들은 "최근 유행하고 있는 착취 공격의 대상은 유동성이 작은 플랫폼이 대부분"이라며 "대출 플랫폼을 이용할 경우 플랫폼의 유동성 규모 등을 꼼꼼히 살펴야 피해를 예방할 수 있다"고 입을 모았다. 유동성이 작은 플랫폼은 작은 시세조종 시도에도 가격 변동이 커지는 경우가 많기 때문이다. 디파이 서비스 이용자 입장에서는 △대출을 2개 이상의 트랜잭션에 걸쳐 하는지 △대출 담보 가치 설정에 다양하고 신뢰성 있는 데이터를 활용하는지 여부를 주의해 이용하는 서비스를 선택할 필요성이 있다.
플랫폼이 외부의 신뢰성 있는 데이터를 기준으로 예금과 대출을 진행하는지도 살펴야 한다고 조언했다. 김민우 메이커다오 한국커뮤니티 총괄은 "예금과 대출의 마진을 사업 모델로 하는 플랫폼의 경우 가상자산 시세 데이터를 적절하게 잘 가져와야 하는데, 데이터 풀이 작을 경우 플랫폼의 시세가 순간적으로 조작될 수 있다"며 "이 경우 알고리즘 상에서는 아무런 문제 없이 증명이 되기 때문에 자동적으로 대출이 이뤄지고, 선량한 이용자들이 피해를 입을 수 있다"고 강조했다. 그러면서 "착취 사고는 전형적으로 시스템의 허점을 이용한 공격 방법"이라며 "가상자산 시세 데이터를 보다 안전하게 받을 수 있도록 시스템 개선이 필요하다"고 덧붙였다.
bawu@fnnews.com 정영일 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지