디파이 서비스 '클레이스왑', 암호화폐 22억원어치 털렸다

[이데일리 김국배 기자] 예치 금액만 2조원이 넘는 디파이(탈중앙화 금융) 서비스 ‘클레이스왑’이 해킹 공격을 당해 22억원어치의 가상자산이 사라지는 사태가 벌어졌다.

클레이스왑은 카카오(035720)의 자회사인 그라운드X가 개발한 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 서비스다.

(사진=오지스)

4일 클레이스왑 운영사인 오지스가 낸 사고 보고서에 따르면 전날 외부 해킹 공격으로 약 22억원에 달하는 가상자산이 특정 지갑으로 출금되는 피해를 입었다. 외부 네트워크망 공격으로 사용자의 정상적인 SDK 파일 요청이 카카오 서버가 아닌 해커 서버로 연결돼 악성코드가 다운로드된 게 원인이다.

사고 시점에 클레이스왑에서 스왑, 예치, 출금 등의 서비스를 사용한 300여 명은 암호화폐가 원하는 지갑이 아닌 해커 지갑으로 전송되고 말았다. 최초 사고 시점은 오전 11시 30분께로 파악된다. 오지스 측은 “현재 파악된 피해 규모는 약 22억원 상당의 가상자산”이라며 “총 325개 지갑에서 407개의 비정상적 트랜잭션이 발생된 것으로 파악된다”고 밝혔다.

오지스는 이번 사고를 파악한 후 추가적인 피해를 막기 위해 클레이스왑의 모든 기능을 차단하고 긴급 점검을 실행했다. 사고 원인으로 파악된 카카오 SDK 파일은 제거했다. 해커가 사용한 스마트 컨트랙트에 노출된 지갑 주소와 자산 목록을 모두 파악했으며, 정상화된 클레이스왑 사이트에서 문제가 된 컨트랙트에 승인된 자산 목록을 해제할 수 있도록 추가 개발을 마쳤다는 설명이다.

오지스는 이 사고로 발생한 피해를 최소화하고자 보상안을 마련할 계획이라고 밝혔다. 오지스 측은 “사용자 여러분께 심려와 불편함을 끼쳐드린 점에 대해 진심으로 사과의 말씀을 드린다”며 “빠른 시일 내 추가 공지를 통해 보상 시기와 방식에 대해 안내드리겠다”고 했다.

보안 전문가는 “디파이 회사들은 다루는 금액은 큰 반면 회사 자체는 스타트업이라 보안 인력이 적은 것이 현실”이라며 “해커들 입장에서는 전통 금융 회사에 비해 훔치기 쉽고 추적도 잘 안 되니 제일 좋은 타깃”이라고 했다.