디파이(탈중앙화 금융, De-fi) 서비스 디포스(dForce)를 공격해 2,500만 달러(305억 원) 규모의 암호화폐를 탈취한 해커가 훔친 자금을 대부분 돌려줬다. 당초 해커가 디파이 서비스에 경고 목적으로 공격을 감행했기 때문에 돈을 돌려줬다는 주장이 나왔지만, 해커가 실수로 정보를 흘린 탓에 돈을 돌려줬다는 쪽으로 의견이 모이고 있다.

23일 현재 이더스캔에 따르면 해커에 지갑에는 돈이 남아있지 않다. 민다오 양(Mindao Yang) 디포스 설립자는 블로그를 통해 “도난당한 자금을 거의 다 찾았으며, 이용자들의 피해를 복구하겠다”고 밝혔다.

지난 18일(현지시간) 디포스의 암호화폐 랜딩(Lending) 서비스 Lendf.me는 해커로부터 공격을 받았다. Lendf.me에선 이더리움의 토큰 발행 표준 ERC-777로 발행된 imBTC 토큰을 담보로 맡기고 대출을 받을 수 있다. imBTC는 이날 함께 해킹을 당한 디파이 서비스 유니스왑에서 빠져나간 토큰이었다. 해커는 ERC-777 스마트 컨트랙트와 Lendf.me 서비스의 스마트 컨트랙트가 호환되는 과정에서 발생하는 보안 취약점을 활용했다.

해커는 imBTC 입금을 명령하는 공급(Supply) 함수 사이에 출금(Withdraw) 함수를 넣어 imBTC를 빼갔고, imBTC가 담보로 입금되는 것처럼 보이게 하면서 실제 입금은 하지 않았다. Lendf.me 서비스 상에선 imBTC 담보가 입금된 것처럼 나타나므로 이 담보를 이용해 다른 암호화폐를 대출할 수 있었다. 또 앞서 빼갔던 imBTC를 담보로 넣어 암호화폐를 대출하는 것도 가능했다. 해커는 이 같은 방식으로 300억 원 어치 암호화폐를 가져갔다.

그러나 해커는 훔친 자금을 보내는 과정에서 분산형 네트워크인 IPFS가 아니라 일반 웹 기반 네트워크를 이용함으로써 자신에 관한 메타데이터를 노출했다. 해커가 송금에 사용한 탈중앙화거래소(DEX) ‘1인치익스체인지(1inch.exchange)’의 세르게이 쿤즈(Sergej Kunz) CEO는 “해커의 IP는 중국 IP 주소로 분산화 네트워크를 이용하지 않았고, VPN이나 프록시 서버인 것으로 추정된다”며 이를 수사에 활용할 수 있다고 설명했다. 이어 그는 “디포스 해커는 훌륭한 프로그래머이지만 경험이 부족한 해커인 것 같다”고 결론 지었다.

이에 업계는 수사망이 좁혀지자 해커가 자금을 돌려준 것으로 추측하고 있다. 수사가 가능하다는 사실이 밝혀지지 않았을 땐 “해커가 디파이 서비스의 보안을 경고할 목적으로 해킹을 감행했기 때문에 돈을 돌려준다”는 주장이 제기됐으나, 수사 가능성으로 인해 자금을 돌려줬다는 쪽에 무게가 실리는 모양새다.

자금을 돌려받은 것과 관계없이, 해킹의 대상이 된 디포스는 비판을 면치 못할 것으로 보인다. 민다오 양 디포스 설립자는 “이 사건에 대한 책임을 통감한다”며 “제3기관을 통해 보안 감사를 받고 보안을 강화하겠다”고 밝혔다. 또 Lendf.me에는 자산 복구를 위한 로그인 기능을 추가하고, 서비스가 중지된 Lendf.me의 자산을 어떻게 재분배할 것인지 추가 계획을 발표하겠다고 전했다.

/박현영 기자 hyun@decenter.kr

박현영 기자

hyun@decenter.kr