[디지털데일리 박현영, 이종현기자] 클레이튼 기반 탈중앙화 금융(De-fi, 디파이) 서비스 ‘클레이스왑’이 해킹으로 22억원 상당의 가상자산을 탈취당했다. 클레이스왑 개발사 오지스는 현재 관계사들과의 협의를 통해 보상 방안을 마련하고 있다.

지난 3일 오후 12시 경 클레이스왑에서는 약 1시간 동안 비정상적인 출금이 일어나는 사고가 발생했다.

클레이스왑은 카카오의 퍼블릭 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 디파이 서비스 중 가장 많은 사용자 수를 보유한 서비스다. 블록체인 상 스마트컨트랙트로 구동되는 디파이 서비스이자, 사용자들이 코인을 입금하는 '유동성 공급'을 함으로써 코인을 교환(스왑)할 수 있는 탈중앙화 거래소(DEX)다.

이날 발생한 사고는 사용자가 유동성을 공급하면 클레이스왑의 스마트컨트랙트가 아닌 공격자의 컨트랙트로 입금되는 사고다.

사고 원인에 대해 오지스 측은 “클레이스왑의 스마트컨트랙트 자체가 공격당한 것은 아니며, 사이트 SDK 파일이 감염된 게 원인”이라고 밝혔다.

구체적으로는 공격자가 클레이스왑에 로딩되는 카카오 SDK 스크립트를 변경, 자신의 코드가 실행되도록 악성코드를 제작했다. 때문에 사용자가 클레이스왑에서 거래를 실행하면 클레이스왑이 아니라 공격자의 가상자산 지갑 주소로 자산이 직접 전송됐다.

이에 따른 피해 규모는 약 22억원이다. 비정상적으로 실행된 거래는 407건이며, 총 325개 지갑에서 비정상적으로 자산이 빠져나갔다.

오지스 측은 “피해를 최소화하고자 보상안을 마련할 계획”이라며 “각각의 거래를 조회해 보상 지급을 준비할 예정이고, 자세한 일정 및 방법에 대해선 추가 공지를 통해 안내하겠다”고 전했다.

이날 클레이스왑에서 거래를 실행한 사용자들은 ‘토큰 승인 해제’ 절차를 밟아야 한다. 비정상적으로 실행된 거래에서 요청했던 승인을 해제하는 작업이다.

오지스는 한국인 창업자들이 설립한 국내 기업이지만, 클레이스왑의 개발 주체인 ‘Ozys PTE, Ltd’는 싱가포르에 법인을 두고 있다. 때문에 해킹 발생 시 한국인터넷진흥원(KISA)에 신고할 의무는 없는 것으로 보인다.

KISA 관계자는 “업체 쪽에서는 아직 신고를 받지 못했다”며 “문제는 인지했고, 관련 문제에 한국 법인이 얽혀 있는지도 봐야 한다. 아직 조사 절차에는 들어가지 않은 상태”라고 전했다.