디파이(DeFi) 네트워크에서 ‘플래시론(flash loan)’로 인한 해킹 사건이 또 다시 발생했다. 플래시론은 대출 받은 암호화폐로 이득을 취한 뒤 바로 되갚는 대출을 뜻한다.
18일 코인데스크에 따르면 현지 시각 17일 이더리움 기반 스테이블코인 프로토콜 기업 ‘빈스토크 팜스(Beanstalk Farms)’에서 총 1억 8,200만 달러(약 2,248억 8,800만 원)가 유출됐다. 블록체인 보안 전문 업체 펙실드(PeckShield)에 의해 알려진 이번 사건은 최소 8,000만 달러의 암호화폐가 유출됐으며 전체 프로토콜에 발생한 피해는 그 이상인 것으로 파악된다.
해커는 대출 플랫폼 에이브(Aave)의 ‘플래시론(flash loan)’을 비롯해 ‘거버넌스토큰(Governance token)’의 허점을 이용한 것으로 보인다. 거버넌스토큰이란 해당 플랫폼에서 의사결정에 필요한 의결권을 행사할 수 있는 토큰이다. 해커는 플래시론을 통해 빈스토크의 기본 거버넌스토큰 ‘스토크(Stalk)’를 대량으로 구매한 뒤 부여된 의결권을 통해 프로토콜 자금을 개인 이더리움 지갑으로 유출하는 의사결정을 통과시킨 것으로 보인다.
빈스토크의 스마트 계약은 블록체인 보안 업체 옴니시아(Omnicia)에 의해 감사를 받았지만, 플래시 대출에 의한 취약점이 발견되기 이전에 진행돼 이 같은 사건이 발생했다고 빈스토크는 밝혔다. 빈스토크의 관계자는 “빈스토크는 찬성표를 던진 스토크의 비율을 결정하는데 플래시 대출에 대한 조치를 이용하지 않고 있습니다”라며 사건 발생 경위를 간략하게 설명했다.