해커들이 Curve에서 1억 달러 이상 유출, CRV 거래 중단

이더리움 DeFi 생태계의 핵심인 스테이블 코인 플랫폼인 커브(Curve)가 7월 30일 말 해킹을 당했다고 코인데스크(CoinDesk)가 프로젝트 트윗을 인용해 보도했다. 위 금액은 일부 Curve 생태계 구성 요소 뒤에 있는 프로그래밍 언어인 Vyper의 "재진입" 버그로 인해 위험에 처해 있습니다.

이 글을 쓰는 시점에 시스템의 다수의 스테이블코인 풀이 해커에 의해 유출되었습니다. 이러한 풀은 몇 가지 다양한 DeFi 서비스에 대한 가격을 책정하고 유동성을 제공하는 데 사용되었습니다.

재진입 버그는 동시 또는 다중 스레드 프로그램에서 발생하는 일종의 소프트웨어 취약점입니다. 이전 실행을 완료하기 전에 애플리케이션의 코드를 중단하고 다시 입력할 수 있는 곳으로, 잠재적으로 예상치 못한 바람직하지 않은 동작이 발생할 수 있습니다.

재진입 버그는 일반적으로 공유 리소스, 비동기화 및 인터리브 실행으로 인해 나타납니다. 여러 스레드 또는 프로세스는 종종 전역 변수, 개체 또는 데이터 구조와 같은 공통 리소스를 공유합니다.

공유 리소스가 제대로 동기화되거나 보호되지 않으면 한 스레드가 공유 리소스를 사용하거나 수정하는 도중에 다른 스레드를 방해할 수 있습니다.

스레드가 중단되고 다른 스레드가 인계받는 경우 의도하지 않았거나 예상하지 못한 방식으로 공유 리소스에 액세스하고 수정할 수 있습니다.

현재 버그의 정확한 원인은 알려지지 않았지만, 한국 업비트를 비롯한 여러 거래소에서는 이미 Curve Finance의 CRV 토큰 거래를 중단했습니다.

Vyper를 사용하는 다른 프로젝트에서도 유사한 취약점이 예상됩니다. 이 글을 쓰는 시점에서 블록체인 감사관인 BlockSec은 총 손실액이 4,200만 달러를 초과할 것으로 추정했습니다.

Curve의 웹사이트에 따르면, 232개의 풀을 운영하고 있지만 그 중 일부가 위험에 처해 있습니다.

해킹으로 인해 지난 24시간 동안 CRV 토큰이 12.60% 하락했습니다. Coinmarketcap에 따르면 현재 0.64달러에 거래되고 있습니다.

또한 강도 사건으로 인해 Aave에 대한 Curve 창립자의 7천만 달러 차입 포지션이 청산될 위험도 있습니다.