미국 연방수사국(FBI)이 디파이(DeFi, 탈중앙화 금융) 플랫폼의 보안 취약점을 노린 가상자산 탈취 범죄가 기승을 부리고 있다고 경고했다.
FBI는 사이버 범죄자들이 범죄에 악용되고 있는 디파이 플랫폼의 보안 취약점에 대해 경고하는 공공 서비스(PSA)를 발표했다.
FBI에 따르면, 사이버 범죄자들은 디파이 플랫폼을 관리하는 스마트 계약의 취약점을 악용해 투자자들의 가상자산을 훔치고 있다. 이들은 주로 크로스체인 브리지와 디파이 플랫폼의 프로토콜의 취약점을 악용하고 있다.
PSA에 따르면, 2022년 1월에서 3월 사이에 사이버 범죄자들은 13억 달러(약 1조 7544억 원)의 가상자산을 훔쳤으며, 그 중 약 97%가 디파이 플랫폼에서 도난됐다.
사이버 범죄자들이 디파이 플랫폼을 악용한 구체적인 사례는 다음과 같다.
• 디파이 내 스마트 계약에서 익스플로잇을 이용한 플래시 대출로 인해 약 300만 달러(약 40억 4700만 원)의 손실 발생
• 디아피 플랫폼의 토큰 브리지에서 서명 확인 취약점을 악용해 플랫폼의 모든 투자를 철회, 약 3억 2000만 달러(4316억 1600만 원)의 손실 발생
• 디파이 플랫폼의 단일 가격 오라클 사용과 함께 취약점을 악용, 일부 가상자산의 가격을 조작해 약 3500만 달러(472억 1500만 원)의 가상자산을 훔침
이에, FBI는 투자자에게 다음과 같은 사항을 권고했다.
먼저, 가상자산에 투자하기 전에는 이용할 디파이 플랫폼의 프로토콜, 스마트 계약을 조사하고 투자와 관련된 특정 위험을 인지해야 한다.
또한 디파이 플랫폼이 독립 감사자가 수행한 하나 이상의 코드 감사를 수행했는지 확인해야 한다. 코드 감사에는 일반적으로 플랫폼의 성능에 부정적 영향을 줄 수 있는 코드의 취약점이나 약점을 식별하기 위해 플랫폼의 기본 코드에 대한 검토 및 분석이 포함된다.
특히 권장되는 코드 감사 없이 이뤄지는 스마트 계약과 배포할 수 있는 기간이 극히 제한된 투자는 주의해야 한다.
아울러 취약성 식별 및 패치에 대한 크라우드소싱 솔루션으로 인해 발생할 수 있는 위험에도 유의해야 한다. 오픈 소스 코드 저장소는 악한 의도를 가진 범죄자들을 포함해 모든 개인에 대한 무제한 액세스를 허용한다.
한편, 연방 정부는 디파이 플랫폼들에 다음 예방 조치를 취하도록 권장했다.
먼저, 취약점을 빠르게 찾아내기 위해 실시간 분석, 모니터링 및 코드의 엄격한 테스트를 실시해야 한다.
또한 스마트 계약과 보안 취약점 악용 등 기타 의심스러운 활동이 감지될 때 투자자에게 곧바로 경고할 수 있는 사고 대응 계획을 마련해야 한다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
