스테이크DAO, 해킹 피해…토큰 5조개 무단 발행

디파이(DeFi) 플랫폼 스테이크DAO(Stake DAO)가 자체 파생 토큰 'vsdCRV'를 악용한 해킹 공격을 당한 것으로 나타났다. 공격자는 아비트럼(ARB) 네트워크에서 수조개 규모의 토큰을 발행한 뒤 이더리움(ETH)으로 교환 중인 것으로 전해졌다.

27일(현지시간) 더블록에 따르면 복수의 블록체인 보안업체들은 스테이크DAO가 현재 진행 중인 공격에 노출됐다고 밝혔다. 블록에이드(Blockaid)는 공격자가 아비트럼에서 5조4000억개 이상의 vsdCRV를 발행한 뒤 이를 ETH로 교환하고 있다고 전했다.

펙실드(PeckShield)는 현재까지 공격 자금 일부가 43.78ETH(약 9만1000달러)로 전환된 뒤 이더리움 메인넷으로 브리지됐다고 설명했다.

vsdCRV는 커브파이낸스(Curve Finance) 생태계와 연동된 수익형 파생 토큰으로 스테이크DAO 내 자동화 수익 전략에 활용된다.

스테이크DAO는 이번 사태를 인지하고 있다며 이용자들에게 vsdCRV와 상호작용하지 말 것을 권고했다.

보안업체들은 이번 공격 원인으로 스테이크DAO 배포자(deployer) 프라이빗키 탈취 가능성을 지목했다. 블록섹(BlockSec)은 "공격자가 배포자 프라이빗키를 확보한 뒤 vsdCRV에 임의의 피어(peer)를 설정했다"며 "이후 악성 메시지를 위조해 약 5조4400억개의 vsdCRV를 무제한 발행했다"고 밝혔다.