미국 법무부 (DOJ)는 베트남인이 개발한 카이버 네트워크 프로젝트의 탈중앙화 금융(DeFi) 플랫폼인 카이버스왑(KyberSwap)에 대한 공격에 대한 세부 정보를 발표했습니다. 이에 따라 캐나다 시민인 안데안 메드제도비치(22세)는 2023년 말 발생한 해킹 사건의 배후로 기소되었으며, 이로 인해 카이버스왑 사용자들은 미화 4,840만 달러(USD)의 손실을 입었습니다.

해커의 공격 방식

카이버스왑은 사용자들이 암호화폐를 교환하면서 크라우드펀딩을 통해 "유동성 풀"에 자금을 모을 수 있도록 합니다. 이를 통해 시스템은 언제든지 토큰을 교환할 수 있는 토큰 풀을 확보할 수 있습니다. 해커는 카이버스왑 스마트 컨트랙트의 취약점을 악용하여 "플래시론"을 통해 거액의 자금을 일시적으로 대출받아 유동성 풀에 투자했습니다.

그런 다음 그는 가격을 조작하여 시스템을 속여 소프트웨어가 잘못 계산하게 하고 해커가 예치한 것보다 더 많은 자산을 인출할 수 있도록 꼼꼼하게 계산된 거래를 실행했습니다.

법무부는 기소장에서 이를 계산 단계의 "반올림 오류"와 관련된 취약점으로 설명합니다. 예를 들어, 스왑된 토큰 수는 1,056,056,735,638,220,800,000개로 제한되어 있었지만, 해커는 1,056,056,735,638,220,799,999개(단 1개 부족)를 주문했습니다. 이는 여전히 한도 내에 있었지만, 반올림 규칙으로 인해 일부 함수가 설계된 대로 제대로 작동하지 않아 악용될 수 있는 취약점이 발생했습니다.

메제도비치는 77건의 거래를 통해 사용자 지갑에서 총 4,840만 달러를 인출했습니다. 이후 메제도비치는 자금을 다른 거래소로 이체하거나 토큰 믹서에 넣는 등 다양한 수법을 사용하여 흔적을 감추었습니다.

메제도비치는 불법 침입 혐의 외에도 카이버 네트워크 측에 회사 운영권 일부를 넘겨주는 대가로 훔친 자산을 돌려달라고 요구하는 메시지를 보낸 후 갈취 혐의도 받고 있습니다. 22세의 이 해커는 수사관들을 속였다고 확신했습니다. 그러나 와이퍼 도구에 문제가 발생하자, 메제도비치는 자신이 위장 요원이라는 사실을 모른 채 "소프트웨어 개발자"에게 도움을 요청했습니다.

카이버스왑 대응

카이버 네트워크 CEO 트란 후이 부(Tran Huy Vu)에 따르면, 회사는 아직 유실된 자산을 모두 회수하지는 못했지만, 적극적으로 사용자들에게 반환했습니다. 이 심각한 사고로 카이버 네트워크는 2023년 말 구조조정을 단행하여 직원의 50%를 감원하고 카이버스왑 엘라스틱(KyberSwap Elastic) 기능을 일시적으로 폐쇄했습니다.

법무부는 이 사건을 DeFi 스마트 계약의 취약점을 악용한 정교한 절도라고 규정했습니다. 전문가들은 이 사건이 모든 DeFi 프로젝트가 취약점을 지속적으로 확인하고, 복잡한 거래 주문에 주의를 기울이고, 위험 대응 계획을 수립해야 한다는 점을 다시 한번 일깨워준다고 말했습니다. DeFi가 더욱 대중화됨에 따라, 메제도비치의 공격은 해커들이 계산 논리의 아주 작은 오류까지도 찾아내 악용할 수 있음을 보여줍니다.

"DeFi의 복잡성에도 불구하고, 우리는 대규모 절도 사건의 범인을 추적하여 체포할 수 있었습니다."라고 미국 법무부 관계자는 밝혔습니다. 이 사건은 공격자가 자신을 은폐하기 위해 여러 단계를 거쳤음에도 불구하고, 당국이 여전히 가해자를 추적하고 법의 심판을 받을 수 있는 방법을 가지고 있음을 보여주는 증거로 여겨집니다.