DeFi(탈중앙화금융) 프로토콜 템플다오(TempleDAO)를 11일에 공격한 해커가 16일, 암호화폐 믹싱 서비스 토네이토캐시(Tornado Cash) 경유로 훔친 이더리움(ETH)을 이동한 것이 확인됐다. 이를 코인포스트가 17일 전했다.
https://twitter.com/peckshield/status/1581627065924694021?s=20&t=TT54ZKTOY9JlcDAQqdm_yw

배경으로 지난 11일 템플다오가 제공하는 스테이킹 프로토콜 중 하나가 악용돼 시가 약 33억원 상당의 1,830 ETH가 부정 유출된 바 있다. 문제의 자금 이동은 유출 자금과 거의 같은 액수였다.

Tornado Cash(토네이도 캐시)는 이더리움 체인상에서 작동하며 거래를 익명화하는 믹싱 서비스다. 미국 정부는 토네이도가 범죄자금 세탁에 사용돼 온 우려 때문에 제재 대상으로 막 지정했다.

※ 믹싱 서비스란, 암호화폐 거래 데이터를 여러 개 혼합함으로써 해당 암호화폐의 출처나 보유자의 정체성을 숨기는 서비스.

[해킹 개요]

템플다오는 STEX의 스테이킹 프로토콜이 공격당했다고 설명했다.

구체적으로는 컨트랙트가 새 버전으로 업데이트됐을 때 사용자가 오래된 컨트랙트로 스테이킹된 토큰을 이행할 수 있도록 하는 기능의 취약성이 악용된 형태다. 공격자는 가짜 주소로 이 기능을 호출해 새 계약이 아닌 자신의 주소로 자금을 인출했다.

템플다오는 컨트랙트가 알파판 출시로 본격 가동 전 감사가 이뤄지지 않은 것을 취약성의 원인으로 꼽고 있다. 향후는 부정행위를 방지하기 위해서 코드의 감사 강화 등 많은 개선을 실시해 나가겠다고 계속했다.

또 “문제는 통제하에 있으며 해커가 더 이상 손해를 끼칠 수 없다”며 “영향을 받은 모든 사용자에 대해 구제조치를 취할 예정”이라고 덧붙였다.

[자금 반환 요청]

템플다오는 버그 발견 포상금 프로그램을 제공하는 햇츠파이낸스(HatsFinance)와 협력해 이번에 자금을 훔친 해커와 협상할 계획이다. 햇츠파이낸스는 해커가 템플다오에 자금 반환을 용이하게 하는 스마트 컨트랙트를 개발했다고 발표했다.
https://twitter.com/HatsFinance/status/1580974400182005760?s=20&t=GTa4pMDYvk1JD4k7G4gWSw

이 스마트 컨트랙트로 해커는 자신의 주소와 자금 반환에 대한 포상금 등 계약 내용을 확인할 수 있다. 해커가 반환할 자금을 입금하면 템플다오 팀은 그 자금을 받아 해커에게 포상금을 보내는 기능을 발동시키는 것이 가능하다. 햇츠파이낸스는 다음과 같이 호소했다.

“우리는 이 사건에 연루된 모든 사람이 팀에 나서도록 장려한다. 엄격한 기밀유지가 보장돼 있으며, 출마한 사람은 포상금 지급 대상이 된다.”

부정하게 인출한 자금을 모두 반환할 경우 전체 자금의 30%가 포상금으로 지급되며 법적 소송이나 관계 당국에 보고되지 않는다고 덧붙였다.

이달에는 이 밖에도 해커가 포상금을 대가로 자금을 반환한 사례가 발생하고 있다.크로스체인 거래 플랫폼 Transit Swap에서 부정 유출된 약 400억원에 대해 해커는 포상금과 교환해 유출액의 70% 이상을 반환했다.