220만 달러 피해! 크레딕스, 디파이 해킹의 전말은?

• 해커, 특정 기능의 취약점을 악용해 허위 담보로 대규모 자금 약탈
• 피해 약 220만 달러… 크레딕스 "사용자 자금 복구 약속"

2일(현지시각) 코인데스크에 따르면, 아비트럼(Arbitrum) 기반 디파이(탈중앙화 금융) 프로토콜 크레딕스(Credix)가 출시 한 달도 되지 않아 해킹 공격을 받아 약 220만 달러(약 30억 원)의 손실을 입었다. 해커는 업데이트마켓 기능의 취약점을 악용해 허위 담보 가치를 설정하고 이를 담보로 대출을 실행하고 자금을 이더리움(Ethereum) 네트워크로 분산시켰다.

블록체인 보안업체 펙실드(PeckShield)는 이번 공격의 세부 과정을 분석했다. 펙실드는 해커가 업데이트마켓 기능의 취약점을 악용해 자산을 탈취했다고 밝혔다. 한편, 웹3 보안 회사 서틱(CertiK)은 도난된 자산이 이동한 이더리움 지갑 주소를 공개했다. 하지만 자금은 아직 거래소와 상호작용하지 않았다고 확인했다.

크레딕스는 X(구 트위터)를 통해 사용자 보호 조치 및 복구 계획을 발표했다. 크레딕스는 보안 침해 사실을 인정하고 아비트럼의 모든 마켓을 일시 중단했다. 동시에 해커에게 10%의 화이트햇 바운티를 제안했다. 크레딕스는 사용자 자금 복구를 위해 피해 금액 전액을 지급하겠다고 약속했다. 하지만 구체적인 방법은 공개하지 않았다.

이번 사건은 디파이 시장의 보안 취약점을 재조명하고 경각심을 불러일으킨다. TRM 랩스(TRM Labs)의 보고서에 따르면, 관리자 권한 설정 문제로 발생한 디파이 해킹은 2023년에 전체 도난액의 약 12%를 차지한다. 또한 해킹으로 도난된 암호화폐 규모는 약 17억 달러에 달한다.

크레딕스 해킹 사건은 신생 디파이 서비스가 직면하는 위험성을 보여준다. 또한, 이 사건은 더 큰 보안 투자와 신중한 프로토콜 설계의 필요성을 강조하는 사례로 기록된다.