최근 디파이(DeFi, 탈중앙화금융)에서 악의적인 사용자가 비정상적인 거래를 유도하는 사례들이 발견되고 있어 디파이 사용자들의 주의가 요구된다.
27일 코인데스크코리아 취재를 종합하면, 문제가 확인된 곳은 바이낸스스마트체인(BSC) 기반 자동마켓메이커(AMM) 프로토콜인 팬케이크스왑이다.
디파이에서는 프로토콜과 유동성 풀을 통해 서로 다른 토큰을 중개기관 없이 교환할 수 있다. 유동성 풀을 통해 교환되는 토큰의 비율은 풀을 만드는 사람이 설정할 수 있도록 되어 있다. 이번에 확인된 악의적인 사용자는 개당 1달러의 가치를 갖는 유동성 토큰인 '4BELT'와 스테이블코인인 'BUSD'를 교환하는 유동성 풀을 만들면서 비정상적인 교환 비율을 설정하는 수법을 썼다.
원래 개당 1달러의 가치를 갖도록 설정된 4BELT 토큰과 BUSD는 1:1 수준으로 교환되어야 한다. 그러나 그는 수만 개의 4BELT 토큰을 1BUSD와 교환하도록 설정했다. 수만 개의 4BELT 토큰을 가진 사용자가 팬케이크스왑에 BUSD로의 토큰 교환을 신청하고 부주의한 상태에서 '거래 수락' 버튼을 누르면 막대한 손해를 보게 되는 구조다.
확인된 사례들을 살펴보면 22일 3만6788개(약 3만6788달러)의 4BELT 토큰이 1BUSD(약 1달러)와 교환되는 식으로 피해가 발생했다. 동일한 방식으로 27일에는 29만7375달러치의 4BELT 토큰이 잘못 교환되기도 했다. 한화로 약 3억3000만원의 손실을 입은 셈이다. 보고되지 않은 피해자까지 감안하면 풀에는 더 많은 피해자가 있을 것으로 보인다.
이번 사건은 암호화폐 업계에서 벌어지는 일반적인 자금 탈취 사건과는 성격이 다르다는 점에서 주목을 받고 있다. 통상 지금까지의 자금 탈취가 해킹이나 기술 취약점을 공략해 타인의 자산을 갈취하는 방식이었다면, 이번 사건은 유동성 공급자가 자신의 유동성 토큰을 자발적으로 처리하는 과정에서 발생했다. 피해 사례라기보다는 이용자들의 실수에 가깝다는 것이다.
이 관계자는 "팬케이크스왑에 관련 문제를 알려봤지만 팬케이크스왑 측은 디파이에서 풀은 누구나 자신이 원하는 조건으로 만들 수 있는 것이고, 자금 탈취 등의 문제도 아니기 때문에 우리가 그 풀을 지울 수는 없다고 답했다"라고 전했다. 그러면서 그는 "주식에서 거래를 체결하기 전에 수량을 제대로 확인하지 않으면 팻 핑거(Fat Finger, 주문 실수. 이를테면 삼성전자 10주 사려던 걸 0을 한번 더 실수로 입력해 100주 매수하는 것)가 일어나는 것처럼, 디파이에서도 교환하기 전에 교환 비율이 맞는지 꼼꼼하게 체크하는 과정이 필요하다"고 덧붙였다.
제보, 보도자료는 contact@coindeskkorea.com