스시스왑 거래소, 스마트 컨트랙트 해킹 피해액 330만 달러
인기 탈중앙화 거래소(DEX) 플랫폼 스시스왑(SushiSwap)이 스마트 컨트랙트의 버그를 악용한 해커에 의해 330만 달러의 피해를 입었다.
스시스왑의 ‘다수의 출처에서 매매 유동성을 취합하여 암호화폐 스왑(교환) 시 최적의 가격을 식별하는 스마트 컨트랙트’인 RouteProcess02 컨트랙트가 취약점 공격(exploit)을 당했고 여러 블록체인 네트워크에 배포되었다.
“근본적인 문제는 내장 함수 swap()이다. swap()은 swapUniV3()를 불러 0x00 슬롯에 저장되는 “lastCalledPool”이라는 변수를 설정한다. 추후에 swap3callback 함수에서 승인 체크가 우회되었다,” 라고 암호화폐 보안 업체 앤실리아(Ancilia)는 트윗을 통해 설명했다.
디파이 라마(Defi Llama) 개발자 0xngmi는 지난 4일 동안 스시스왑에서 암호화폐 스왑을 한 사용자만이 영향을 받았을 것이라고 추측한다.
0xngmi는 트윗을 통해 “지난 4일 동안 스시스왑에서 암호화폐 스왑을 한 사용자만이 영향을 받았을 것이다. 만약 그랬다면 해당 승인을 최대한 빨리 철회하거나 사용한 지갑에 있는 자금을 새로운 지갑으로 옮겨야 한다,”라고 전했다.
현재까지 밝혀진 피해 사용자는 한 명이다. 암호화폐 시푸(Sifu)의 열성가로 유명한 이 피해자는 1,800 ETH(약 330만 달러)의 피해를 입은 것으로 보고됐다.
스시스왑의 수석 개발자 제러드 그레이(Jared Grey)는 “스시스왑의 RouteProcessor2 컨트랙트는 승인 관련 버그가 있다; 최대한 빨리 모든 승인을 취소하기를 권장한다”라고 트윗을 통해 밝혔다.
그는 또한 문제 해결을 위해 깃허브에 해지가 요구되는 블록체인들의 컨트랙트 리스트를 업로드했다.
스시스왑, 갈취된 자금의 “대부분” 회수
스시스왑 팀은 와이트 햇(white hat, 윤리적 해킹) 보안 절차를 통해 갈취된 자금의 대부분을 회수했다.
스시스왑 수석 개발자 그레이는 “우리는 와이트 햇 보안 절차를 통해 갈취된 자금의 대부분을 회수했습니다. 만약 와이트 햇 회수 절차에 참여했다면 [email protected] 에 연락하여 다음 단계를 안내받으세요,”라고 동부 표준시 9:42 a.m.에 발표했다.
“우리는 시푸의 Coffeebabe에서 갈취된 300 ETH 이상을 회수했으며 리도 팀과 700 ETH의 회수와 관련하여 협력 중입니다.”
스시스왑의 최고 기술 책임자 매튜 릴리(Matthew Lilley)는 현재 스시스왑 플랫폼 사용에 문제가 없다고 밝혔다. 릴리는 “모든 RouterProcessor2 관련 서비스는 제거되었으며 LPing / 스왑 서비스는 안전하다,”라고 덧붙였다.
이번 해킹 사건은 스시 DAO와 그레이가 미 증권거래위원회(SEC)에 의해 소환장을 받은 이후 발생했다.
3월 21일. 스시 DAO는 법률 자문 비용을 청구하는 제안서에서 SEC의 소환장을 공개했다.
지난 주말, 그레이는 소환장 관련 공개 성명을 발표했다. “SEC의 조사는 비공개적으로 이루어지며 연방 증권법을 위법했는지에 대한 사실 관계 조사다.”
“제가 알고 있는 바로는 SEC는 아직(작성 시점 기준) 스시스왑과 관련된 어떠한 업체나 사용자에 대해서 미국 연방 증권법을 위법한 행위를 찾지 못했다.”
