세이프문 암호화폐 프로젝트 해킹: 공개 토큰 소각 기능 사용해 $880만 탈취
한 해커가 BNB 체인 기반 디파이 거래소 세이프문(Safemoon)의 취약점을 공격해 890만 달러 상당의 디지털 자산을 탈취했다.
가상화폐 보안 회사 펙실드(Peckshield)에 따르면 최신 업그레이드에 도입된 공개 소각 기능의 취약점을 공격해 해킹했다고 전했다.
해당 기능에는 버그가 존재해 해커가 프로젝트의 유동성 풀을 손상시키고 900만 달러 가까운 자산을 갈취할 수 있었다.
웹 3.0 개발자 디파이 마크(DeFi Mark)는 공격자가 취약점을 사용해 세이프문(SFM) 토큰을 제거하여 토큰 가격에 인공적 급등을 유발했다고 추가 설명했다.
공격자는 이러한 시기를 틈타 토큰을 부풀린 가격에 매도했다.
디파이 마크가 말하기를:
“해커는 이 기능으로 세이프문-WBNB 유동성풀에서 SFM 토큰을 제거해 인위적으로 SFM 가격을 올렸다. 이후 SFM을 높은 가격에 판매하며 유동성 풀에 남아있는 나머지 WBNB를 제거할 수 있었다.”
트위터에서 세이프문 개발팀은 해킹 공격을 인정하며 프로젝트의 LP(유동성 풀)가 손상되었다고 밝혔다.
공격에 대한 추가 정보를 공개하지 않으며 세이프문은 “해당 문제를 최대한 빠르게 해결하기 위해” 조치를 취하고 있다고 밝혔다.
세이프문은 커뮤니티 주도 디파이 프로토콜로 디플레이션 유틸리티 토큰 SFM로 운영된다. 토큰은 바이낸스 스마트 체인에서 개발되어 BEP-20 토큰 표준으로 구동된다.
프로젝트는 2021년 1분기에 출시되었으며 고정 보상, 유동성 풀 매입, 소각 전략 등 여러 기능을 지원한다.
프로젝트는 여러 유명 인사의 지지를 받았다는 점이 특징적이며 제이크 폴(Jake Paul), 솔자보이(Soulja Boy) 등이 지지한 것으로 알려졌다.
하지만 최근에 세이프문 프로젝트는 여러 스캔들과 법적 분쟁의 중심에 놓이게 되었다.
2022년 2월 가수 닉 카터(Nick Carter), 솔자보이(Soulja Boy), 릴 야티(Lil Yachty), 유튜버 제이크 폴(Jake Paul)과 벤 필립스(Ben Phillips)가 현실 세계 폰지 사기를 본떠 비현실적 수익을 내세우며 세이프문 토큰 SFM에 투자하라고 유도했다며 고소 당했다.
세이프문의 불안정한 리더십
지난해 5월, 인터넷 탐정 커피질라(Coffezilla)는 세이프문의 창립자와 수석 개발자, CEO가 세이프문의 유동성 풀에 사용할 자금을 개인 이익을 위해 사용했다고 주장했다.
세이프문의 창업자는 카일(Kyle)이라는 이름으로 알려졌으며 그외에는 신원에 관한 정보가 공개되지 않았다. 커피질라에 의하면 카일은 비 토큰(Bee Token)이라는 다른 소형 러그 풀 프로젝트의 코드를 베껴 세이프문을 개발했다.
커피질라가 세이프문의 지갑과 블록체인 활동을 분석한 결과, 창업자 카일이 처음부터 자금을 빼돌린 사실을 발견한 것으로 보인다고 주장했다. 그는 당시 다음과 같이 말했다:
“세이프문에서 카일의 지갑으로 송금된 전체 금액은 164조 토큰에 달한다. 9월 중순부터 12월 중순까지 그는 1,030만 달러를 모으게 되었다.”
카일이 사임한 이후 수석 개발자 토마스 “파파” 스미스가 프로젝트의 수장으로 취임했다.
하지만 커피질라의 수사에 의하면 스미스 역시 프로젝트의 유동성 풀에서 18번의 거래를 통해 1억 4,300만 달러를 갈취한 것으로 나타났다.
함께 읽을 만한 기사
