탈중앙화 금융(DeFi) 플랫폼 DxSale이 2021년부터 비활성화된 유동성 풀을 악용한 공격으로 730만 달러를 도난당했습니다. 이번 사건은 BNBChain 상의 약 1,400개 풀에 영향을 미쳤으며, 자금은 발행자가 방치한 것으로 보이는 토큰들에서 빠져나갔습니다.
공격 방식
공격자는 2021년 강세장 당시 생성된 풀들을 표적으로 삼았으며, 이들 중 상당수는 수년간 방치된 상태였습니다. 온체인 데이터에 따르면, 공격자는 이 풀들에서 잠긴 유동성을 인출할 수 있는 방법을 사용했습니다. DxSale은 소셜 미디어 채널을 통해 침해 사실을 확인하며, 공격받은 풀은 모두 2021년 생성된 것이며 활성 거래량이 없었다고 밝혔습니다.
플랫폼은 토큰 보유자와 프로젝트 팀에게 해당 풀과 연결된 모든 계약에 대한 승인을 철회할 것을 촉구했습니다. 공격자는 도난당한 토큰을 BNB 및 기타 자산으로 전환한 뒤 여러 지갑을 통해 자금을 이동시켜 추적을 어렵게 했습니다.
사용자 및 프로젝트에 미치는 영향
3년 전 해당 풀을 만든 프로젝트들의 경우 손실은 전적입니다. 토큰을 뒷받침하기 위해 잠겼던 유동성이 사라졌기 때문입니다. 많은 프로젝트는 이미 중단되거나 방치된 상태였지만, 일부는 여전히 활동 중일 수도 있습니다. DxSale은 보안 업체 및 블록체인 분석가와 협력하여 자금을 추적 중이라고 밝혔으나, 시간 경과와 공격자의 익명성으로 인해 회수는 어려울 것으로 보입니다.
플랫폼 자체는 파산하지 않았지만, 이번 침해는 탈중앙화 거래소의 방치된 유동성 풀 보안에 대한 의문을 제기합니다. DxSale은 스마트 계약 전체 감사를 진행하는 동안 BNBChain에서의 신규 풀 생성을 일시 중단했습니다.
DeFi에 대한 광범위한 시사점
이번 사건은 DeFi의 지속적인 취약점을 부각시킵니다. 방치되거나 모니터링되지 않는 유동성 풀이 시한폭탄이 될 수 있다는 점입니다. 2021년 열풍 당시 출시된 많은 토큰은 일정 기간 동안 유동성이 잠겨 있었지만, 기간이 만료된 후에도 누구도 이를 제거하거나 계약을 업데이트하지 않았습니다. 오래된 계약 코드를 알고 있는 공격자는 자금을 빼낼 방법을 찾을 수 있습니다.
DxSale이 이런 공격을 겪은 첫 번째 플랫폼은 아니며, 마지막도 아닐 것입니다. 2021년 BNBChain 풀에 잠긴 총 가치는 알 수 없으나, 도난당한 730만 달러는 여전히 취약할 수 있는 자금의 일부에 불과합니다.
DxSale의 향후 조치
팀은 모든 풀 생성을 일시 중단하고 모든 활성 계약을 검토하는 등 긴급 조치를 취했습니다. 또한 사용자에게 의심스러운 활동을 신고해 줄 것을 요청했습니다. 사고 후 완전한 분석 보고서는 1주일 내에 제공될 예정이며, 여기에는 영향을 받은 풀 주소 목록과 유사한 공격을 방지하기 위한 계획이 포함될 것입니다.
현재로서는 도난 자금의 추적이 불가능하며 공격자의 신원도 알 수 없습니다. DxSale의 다음 단계는 계약 검증 프로세스를 강화하고, 오래된 풀에 타임락 또는 다중 서명 요구 사항을 도입하는 것입니다.
