스테이블 코인 프로토콜 Beanstalk, 1억 8200만 달러 상당의 해킹 피해

 

이더리움 기반 DeFi 프로토콜 'Beanstalk'가 해킹으로 총 1억8,200만 달러의 자금이 부정 유출된 것으로 나타났다.

 

시큐리티 기업 PeckShield는 부정 유출 발견 당초 트위터로 플래그를 세우고 해커가 2만 4,830ETH와 3,600만 BEAN을 포함한 8,000만 달러를 도난당했다고 발표했고 이후의 조사를 통해 피해액은 더욱 크다는 것이 밝혀졌다.

 

Beanstalk는 2021년 10월에 거래가 시작된 이더리움 기반의 미국 달러 패깅 스테이블 코인 프로토콜로 안정성 공급에는 기존의 담보가 아닌 분산형 크레딧을 기반으로 한다.

 

해킹 피해가 알려진 시점, 1달러에 페깅되어야 할 BEAN 가격은 일시적으로 0.06달러까지 대폭 하락(-94%)했다.

 

해킹 배경에는 사건 전날 제출된 플래시 대출에 관한 요건 변경이 관련되어 있는 것으로 보이며, 이에 대해 Beanstalk의 프로젝트 리더는 "Beanstalk는 BIP에 찬성표를 던지는 Stalk의 비율을 결정할 때 플래시 대출에 내성이 있는 수단을 강구하지 않았다. 이것은 해커가 Beanstalk을 사용하는 취약점이 되었다"라고 말했다.

 

해커는 대출 플랫폼 Aave의 플래시 대출을 이용하여 Beanstalk의 거버넌스 토큰 'Stalk'를 대량으로 입수했고 이 토큰에 의해 부여된 BIP의 의결권을 사용하여, 자신에게 이익을 가져오는 거버넌스안을 신속하게 가결하고, 모든 프로토콜 자금을 인출했다.

 

Etherscan의 데이터에 따르면, 해커는 이후 분산형 거래소 Uniswap에서 DAI, USDC, USDT를 이더리움으로 교환하고, 믹싱 서비스 '토네이도 캐시(Tornado Cash)'를 이용하여 머니 론더링(자금세탁)을 실시한 경황이 있다.

 

덧붙여, 블록체인 보안 기업인 Omnicia는 이 사건 후의 분석을 발표했다. 해킹이 일어난 Beanstalk의 스마트 계약 코드는 Omnicia에 의한 감사 종료 후 플래시 대출 요건이 변경된 것으로 지적하고 있다.

 

Beanstalk 팀은 현재 사용자에 대한 보상을 밝히지 않았다.

 

 

타임스탬프 뉴스, 편집부

desk@timestampnews.net