디파이 노리는 ‘플래시론’ 공격, 바이낸스 스마트체인서 더 확산되는 이유는?
[디지털데일리 박현영기자] 최근 팬케이크버니, 버거스왑, 벨트파이낸스 등 디파이(De-fi, 탈중앙화 금융) 서비스들이 플래시론 공격을 받아 자금을 탈취당하는 사례가 잇따르고 있다.
공격 대상이 된 디파이 서비스들은 블록체인 플랫폼 ‘바이낸스 스마트체인(BSC)’을 기반으로 하는 경우가 많다. 이에 BSC 기반 서비스들이 더욱 주의를 기울여야 한다는 지적이 제기된다.
◆디파이 위협하는 플래시론 공격은 무엇?
4일 업계에 따르면 지난달 말부터 현재까지 팬케이크버니, 버거스왑, 벨트파이낸스 등 BSC 디파이 서비스들이 잇따라 플래시론 공격을 받았다.
디파이란 블록체인 상 스마트컨트랙트로 구동되는 금융 서비스를 말한다. 거래, 대출 등 금융 서비스의 과정들이 모두 스마트컨트랙트로 자동화돼 이뤄지는 방식이다. 때문에 서비스 내 코드에 보안 취약점이 있을 경우 해킹 등 공격에 취약하다는 단점이 있다.
플래시론 공격은 디파이 서비스들이 가장 흔히 당하는 공격이다. 우선 ‘플래시론(Flash Loan)’이란 블록체인의 블록 1개가 만들어지는 짧은 시간 안에 무담보로 대출을 받고 상환하는 것을 말한다.
일반적으로 디파이 서비스에선 가상자산을 대출하기 위해 다른 가상자산을 담보로 맡겨야 하지만, 플래시론을 이용할 경우 무담보로 대출을 받은 후 즉시 상환하면 된다. 대출을 받는 거래(트랜잭션)를 만들고 이 거래가 블록에 저장되기 전에 상환하는 것이다. 블록에 저장되어 완전한 거래기록으로 남아야 하는데, 완전한 거래가 되기 전에 대출과 상환이 모두 일어나는 것으로 보면 된다.
플래시론 공격은 말 그대로 플래시론을 이용한 공격이다. 해커는 플래시론을 통해 가상자산을 대출받은 후, 대출받은 금액을 이용해 디파이 서비스에서 가격을 조작한다. 이후 대출받은 금액을 상환하고 중간 과정에서 일으킨 가격 조작을 통해 차익을 얻는다.
지난달 말 플래시론 공격을 받은 팬케이크버니를 예로 들면, 해커는 디파이 서비스 ‘팬케이크스왑’에서 대량의 바이낸스코인(BNB)을 빌렸다. 이후 팬케이크스왑에서 빌린 BNB 중 일부를 스테이블코인인 테더(USDT)로 맞교환했다.
팬케이크스왑에서는 중간자의 개입 없이 토큰과 토큰이 맞교환되는 방식으로 거래가 이뤄진다. 대량의 BNB를 USDT로 교환할 경우, BNB가 대량으로 매도되는 셈이므로 팬케이크스왑에서의 BNB 가격이 하락하게 된다. 때문에 또 다른 디파이 서비스인 ‘팬케이크버니’와 팬케이크스왑 간 BNB의 가격 차이가 발생한다.
해커는 팬케이크버니로 가서 나머지 BNB를 BUNNY로 교환하고, 약 700만개의 BUNNY를 획득했다. 그리고 다시 팬케이크스왑에서 대량의 BUNNY를 BNB로 교환함으로써 BUNNY 가격 하락을 유발하고, 다시 BNB를 얻었다. 앞서 언급했듯 팬케이크스왑에서는 BNB 가격이 하락한 상태였으므로 해커는 상대적으로 많은 BNB를 얻게 됐다. 때문에 해커는 빌린 BNB를 다 상환하고도 약 11만 5000개의 BNB를 갖게 됐다. 플래시론 공격을 통해 차익을 얻은 것이다.
주파수 재할당대가, 정부가 부르는게 값? “산정방식 검토 필요”
2024-11-22 18:23:52네이버페이, 한국재무관리학회 ‘상생금융 우수기업상’ 수상
2024-11-22 16:44:59케이‧토스‧카카오뱅크, 3분기 중저신용대출 비중 30% 상회
2024-11-22 16:41:56