탈중앙화 대출 프로토콜 zkLend가 2월 12일 해커 공격을 당해 900만 달러의 손실을 입었습니다. 이 프로토콜은 공격자에게 10%의 포상금을 제공하며, 2월 14일까지 나머지 자금을 반환하면 법적 책임을 면제해 주겠다고 밝혔습니다.
목차
TogglezkLend, 900만 달러 피해, 해커 자금 Railgun으로 세탁
블록체인 보안팀 슬로우미스트(SlowMist)의 보고서에 따르면, Starknet 체인의 대출 프로젝트 zkLend가 해커 공격을 당해 900만 달러의 자금 손실이 발생했습니다.
🚨SlowMist Security Alert🚨
The lending project @zkLend on the Starknet chain was attacked today, with more than $9 million in assets lost!
The SlowMist security team found that the core reason for this attack lies in the safeMath library adopted by the market contract. When… https://t.co/YmvzVXxmiD pic.twitter.com/S3P73E4uxu
— SlowMist (@SlowMist_Team) February 12, 2025
이번 공격의 핵심 원인은 시장 계약에서 사용된 safeMath 라이브러리에 있습니다. 나눗셈 계산 시 직접 나눗셈을 사용하여 인출 작업에서 파괴되어야 할 zToken의 실제 수량을 계산할 때 반올림 취약점이 발생했습니다. 공격자가 이 취약점을 악용했을 것으로 보입니다.
팀은 "사용자들께서는 zkLend에 있는 자산 상태를 주시하고, 예금 등 관련 작업을 일시적으로 중단하여 손실을 방지하시기 바랍니다."라고 밝혔습니다.
이후 다른 보안 회사 Cyvers도 지적했듯이:
공격자는 피해 자금을 이더리움(ETH) 블록체인으로 전송하고 Railgun 프라이버시 서비스를 통해 세탁했습니다. 그러나 Railgun의 프로토콜 정책으로 인해 이 자금은 결국 원래 주소로 반환되었습니다.
(RAILGUN이란? Privacy Pools: 무죄 증명의 새로운 방법)
zkLend, 해커에게 10% 포상금 제안
공격 발생 후 zkLend는 공지를 통해 해커와 10%의 포상금으로 협상을 진행했습니다. 2월 14일까지 나머지 자금을 반환하면 모든 법적 책임을 면제해 주겠다고 밝혔습니다:
우리는 당신이 오늘 zkLend를 공격한 배후 인물임을 알고 있습니다. 10%의 자금을 화이트햇 해커 보상으로 가져가고 나머지 90%, 약 3,300 ETH를 반환해 주시기 바랍니다.
또한 zkLend는 보안 회사와 법 집행 기관과 협력하고 있으며, 14일 내에 응답이 없을 경우 추가 조치를 취해 공격자를 기소할 것이라고 밝혔습니다.
피해 사용자들, 팀의 자금 유출 방치에 분노
이에 대해 피해 사용자 0xYANGZAI는 X 소셜 미디어에서 불만을 표했습니다. StarkNet 측의 무대응을 의심하며 내부 직원 개입 가능성을 제기했습니다:
도난 12시간 후에도 그들은 L2와 L1 간 브리지를 통한 1,800 ETH의 유출을 방치했다. 이는 내부 직원의 개입 가능성을 의심하게 한다.
그는 이번 주 내 홍콩에 가서 신고할 계획이며, 다른 피해자들과 함께 움직일 것이라고 밝혔습니다. 또한 해커 주소와 상호작용한 DEX와 CEX에 대한 조사를 촉구했습니다.
암호화폐 분야 해커 공격 끊이지 않아
Chainalysis의 2024년 보안 사고 보고서를 살펴보면, 도난 자금이 전년 대비 약 21% 증가하여 22억 달러에 달했습니다. 도난 자금의 대부분은 탈중앙화 금융(DeFi) 서비스에서 발생했지만, 2분기와 3분기에는 중앙화 서비스가 주요 타깃이 되었습니다.
2024년에는 개인 키 유출이 가장 큰 암호화폐 도난 원인(43.8%)이었으며, 이 중 상당 부분이 북한 해커와 관련된 것으로 보입니다. 그들은 여러 암호화폐 기업에 침투하여 네트워크를 파괴했습니다.
북한 해커들이 각종 암호화폐 프로젝트에서 훼손한 금액은 역대 최고인 13.4억 달러를 기록했으며, 이는 연간 총 도난 금액의 61%를 차지했습니다.
(ZachXBT, 북한 해커 범죄 네트워크 폭로: 개발자 가장해 팀 침투 후 매달 50만 달러 횡령)
암호화폐 보안 문제가 심각해짐에 따라 자체 보안 의식 제고가 더욱 중요해지고 있습니다.
위험 고지
암호화폐 투자에는 높은 위험이 수반되며, 가격 변동성이 크므로 원금 손실이 발생할 수 있습니다. 위험을 신중히 평가하시기 바랍니다.
