오라클 설정 오류를 노린 연쇄 해킹으로 누적 탈취액이 약 350만 달러까지 불어났다고 전했다.
플루토스 머니·문웰·FOOM CASH 등에서 오설정·검증기 구현 실수가 대규모 유출로 이어지며 배포 전후 다중 검증 필요성이 부각됐다고 전했다.
350만 달러 연쇄 탈취… ‘오라클 오설정’ 파고든 디파이 대출 해킹, 다음 타깃은 / TokenPost.ai
디파이(DeFi) 대출 프로토콜을 노린 ‘연쇄 해커’가 잇따른 오라클(가격정보) 설정 오류를 파고들며 피해를 키우고 있다. 지금까지 확인된 누적 탈취액은 약 350만달러(약 50억2,565만원) 수준이다.
가장 최근 공격은 대출 플랫폼 플루토스 머니(Ploutos Money)에서 발생했다. 오라클 ‘오작동’이 트리거가 되면서 약 40만달러(약 5억7,436만원)가 유출된 것으로 추정된다. 보안업체 서티케이(CertiK)는 “프로젝트가 웹사이트와 소셜미디어 흔적을 삭제한 것으로 보인다”고 전했다.
블록체인 보안감사 업체 블록섹(BlockSec) 분석에 따르면, 플루토스 머니는 스테이블코인 USDC 가격 오라클로 체인링크(LINK)의 비트코인(BTC)/달러 피드를 잘못 사용했다. 이 ‘오라클 misconfiguration(오설정)’을 이용해 공격자는 담보로 USDC 8개만 예치하고도 이더리움(ETH) 187개를 대출받을 수 있었던 것으로 분석된다.
공격 시점도 의심을 키웠다. 블록섹은 “오설정이 확인된 직후, 단 1개 블록 뒤에 곧바로 익스플로잇이 실행됐다”며 공격자가 설정 변경을 ‘면밀히 모니터링’했을 가능성을 제기했다. 다만 서티케이와 블록섹의 게시글 댓글에는 내부자 연루를 의심하는 반응도 적지 않았다.