클레이튼 기반 디파이(탈중앙화금융) 서비스 '클레이스왑'에서 총 22억원 규모 해킹 사고가 발생했다. 예치나 스왑, 인출 기능을 활용할 경우 토큰이 출처를 알 수 없는 특정 주소로 전송되는 현상이 일어났다. 운영사 측은 피해 분석을 거쳐 해킹 보상안에 대한 대책을 마련키로 했다.
클레이스왑 운영사 오지스가 발표한 해킹사고 리포트에 따르면, 지난 3일 오전 11시 30분경, 클레이스왑 UI를 통해 토큰 관련 기능을 실행했을 때 토큰이 특정 주소의 지갑으로 전송되는 문제가 최초 발생했다. 이후 총 325개 지갑에서 407개 비정상적 전송이 있었던 것으로 집계됐다.
클레이스왑 서비스 접근 시 정상파일 대신 악성코드 파일을 다운로드 받도록 조작하는 외부 네트워크망 공격이 있었던 것으로 분석됐다. 공격자는 카카오 SDK 자바스크립트 파일요청이 일어나는 과정에서, 카카오 서버가 아닌 제3의 서버로 연결해 악성코드를 심는 수법을 썼다. 이를 통해 사용자가 요청한 모든 트랜잭션을 자신의 지갑으로 전송하는 트랜잭션으로 직접 보내도록 코드를 오염시켰다.
사건 발생 직후 오지스 측은 탈취된 자산이 오르빗 브리지를 통해 가상자산거래소로 유출되는 것을 방지하고자 브릿지 내 클레이튼 민터 동작을 일시 중단했다. 이와 동시에 감염된 카카오 SDK 파일을 제거하고 전반적인 소스 코드 점검을 진행했다. 해커가 사용한 지갑 주소와 재산 목록을 파악했으며, 문제 컨트랙트에 승인된 자산목록을 해제할 수 있도록 추가 개발을 완료했다.
다만 문제 발생 시점 이전부터 사이트를 접속한 상태로 클레이스왑을 이용 중인 유저에게는 추가 자산 탈취가 발생할 수 있어 각별한 주의가 필요하다. 공격자의 악성코드가 남아있는 사이트에서는 이전과 같은 이상 트랜잭션이 발생할 수 있기 때문이다. 따라서 사용자가 반드시 직접 자신의 인터넷 브라우저의 캐시를 삭제한 후 사이트를 이용해야 한다.
해킹 피해가 발생한 지갑의 경우에도 반드시 추가 조치를 완료한 상태로 이용해야 한다. 클레이스왑 접속 후 토큰 승인 해제 페이지로 이동해 '모든 자산에 대한 토큰 승인 해제' 과정이 필요하다. 또한 만약을 대비해 모든 자산을 새로운 지갑 주소로 전송하는 것이 권장된다.
오지스 측은 “이번 안타까운 사고로 발생한 피해를 최소화하기 위해 보상안을 마련할 계획”이라며 “각각의 트랜잭션들을 조회해 관련 보상 지급을 준비할 예정”이라고 밝혔다.
지난 2020년 11월 론칭한 클레이스왑은 현재 국내 디파이 서비스 중에서 가장 큰 규모에 해당한다. 예치금액이 20억달러(약 2조4000억원)에 달한다.
이형두기자 dudu@etnews.com
