출처=Bermix Studio/ Unsplash
출처=Bermix Studio/ Unsplash

이더리움 기반 대출 프로토콜 인버스 파이낸스의 거버넌스 토큰인 INV(인버스 파이낸스)의 가격을 조작해 한 공격자가 1560만달러(약 190억원)의 부당 수익을 챙긴 사건이 발생했다.

3일(현지시간) 코인데스크US에 따르면, 이 공격자는 INV 가격을 조작해 가격이 상승한 INV를 담보로 앵커 프로토콜에서 대출을 받아 190억원의 부당 수익을 챙겼다.

부당 수익을 챙기기에 앞서 공격자는 주로 가상자산 자금세탁에 활용되는 토네이도 캐시에서 901ETH(약 36억원)를 인출했다. 그리고 인출한 자금을 이용해 블록체인 외부 데이터 소스인 오라클의 조작 버그를 일으켰고 INV의 가격이 오르도록 조작했다.

주목할 건 공격자는 부당 수익을 챙기는 과정에서 36억원을 잃을 수도 있는 위험을 감수하고 공격을 감행했다는 점이다.

블록체인 보안 업체인 펙실드(PeckShield)의 한 관계자는 "공격자가 대출을 받기 전에 INV 가격이 정상 수준으로 돌아왔다면 공격자는 36억원을 모두 잃었을 것이기 때문에 위험성이 높았던 공격"이라고 코인데스크US에 말했다.

INV 가격은 사건이 발생한 2일 코인마켓캡 기준 378.11달러(약 46만원)에서 569.98달러(약 69만원)로 10분만에 약 50% 상승했다. 약 1시간 후 INV 가격은 차익 거래를 노린 기존 INV 보유자가 매도를 해 가격이 기존 수준으로 다시 떨어졌다.

공격자는 가격을 조작한 INV를 담보로 앵커 프로토콜에서 대출을 받았기 때문에 만일 대출받는 시간이 조금만 어긋났다면 조작에 사용한 36억원을 잃고 190억원도 얻지 못했을 것이라는 의미다.

공격자는 1588ETH(이더리움), 94wBTC(랩비트코인), 39YFI(연파이낸스), 399만9669DOLA(돌라)를 대출을 통해 얻었고 이 자금들 중 대부분을 토네이도 캐시를 이용해 이더리움으로 바꿨다.

인버스 파이낸스는 "거버넌스 투표를 통해 가격 조작에 영향에 이용된 모든 지갑들의 자금을 환수할 것"이라고 전했다. 다만 구체적인 투표 안건이나 환수 방법은 공개하지 않았다. 한국시간 4일 기준 인버스 파이낸스의 대출 서비스는 일시 중단 상태다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지