분산형 금융 디파이(DeFi)를 취급하는 플랫폼인 오일러파이낸스(Euler Finance)가 플래시 론(flash loan) 공격에 휩쓸려 1억 9,700만 달러에 달하는 디지털 자산이 유출된 것으로 나타났다.
플래시 론이란 한 거래에서 차용인이 대출자로부터 무담보로 대출을 받고 해당 자금을 원하는 것에 사용할 수 있는 구조를 말한다. 차용인이 보통 자금을 재정 거래에 사용하고 어떤 암호화폐를 가격이 낮은 거래소에서 사고 가격이 높은 거래소에서 팔아 이득을 얻으려 한다. 이런 거래를 포함해 대출에서 상환까지 일련의 흐름은 모두 동일 거래에서 동시에 실행되어 대출부터 반환까지 시간은 보통 몇 초다.
이런 구조를 악용하고 부정하게 가격을 조작해 큰 이익을 얻으려는 행위가 플래시 론 공격이다. 지난 3월 12일 오일러파이낸스가 플래시 론 공격으로 1억 9,700만 달러 디지털 자산을 잃었고 회사가 발행하는 토큰은 오일러 가격은 하룻밤새 50% 가까이 하락했다. 유출된 디지털 자산에는 DAI, WBTC, USDC, stETH 등 여러 토큰이 포함됐다. 다만 유출된 것 중 대부분으 차지하는 1억 3,580만 달러어치 stETH는 추적되고 있기 때문에 범인이 자금을 사용 가능한 형태로 바꾸는 건 곤란할 것으로 보인다.
블록체인 보안 기업에 따르면 오일러 청산 시스템 로직에 결함이 있다고 보고하고 있다. 시스템은 범인이 담보를 초과한 금액을 취급하고 있거나 담보와 대출 자금 전환율이 올바른지 검증하지 않았기 때문에 범인은 전환율을 조작하고 청산할 때 다액을 얻는데 성공했다. 오일러파이낸스를 운영하는 스타트업인 오일러랩스(Euler Labs)는 보안 전문가, 법 집행 기관과 협력해 준비가 되면 더 많은 정보를 공개할 것이라고 발표했다. 관련 내용은 이곳에서 확인할 수 있다.