오늘은 최근에 발생한 커브파이낸스 해킹에 대해 이야기해보려고 합니다. 커브파이낸스는 탈중앙화된 암호화폐 거래소로, 스테이블 코인과 다른 암호화폐를 거래할 수 있는 플랫폼입니다. 그러나 최근 커브파이낸스의 일부 스테이블 코인 풀이 해킹을 당해 큰 손실을 입었습니다. 이번 해킹은 디파이 생태계의 취약성을 다시 한번 드러냈는데요, 이번 글에서는 커브파이낸스가 무엇인지, 어떻게 해킹당했는지, 어떤 영향을 미쳤는지, 그리고 디파이의 발전과 성공을 위해 필요한 조치와 방향에 대해 알아보겠습니다.
커브파이낸스
커브파이낸스는 2020년에 출시된 탈중앙화된 암호화폐 거래소입니다. 커브파이낸스는 스테이블 코인과 다른 암호화폐를 거래할 수 있는 플랫폼으로, 주로 저슬리피지(low slippage)와 높은 유동성(high liquidity)을 제공합니다. 슬리피지란 거래를 할 때 시장 가격과 실제 거래 가격의 차이를 말합니다. 슬리피지가 낮으면 거래 비용이 절약되고, 슬리피지가 높으면 거래 비용이 증가합니다. 유동성이란 얼마나 쉽게 자산을 현금으로 바꿀 수 있는지를 말합니다. 유동성이 높으면 자산을 빠르고 편리하게 거래할 수 있고, 유동성이 낮으면 자산을 거래하는데 어려움과 시간이 소요됩니다.
커브파이낸스는 스테이블 코인과 다른 암호화폐를 거래할 때 저슬리피지와 높은 유동성을 제공하는 방법으로, 다음과 같은 특징과 장점을 가지고 있습니다.
- 커브파이낸스는 자동 시장 메이커(AMM)라는 알고리즘을 사용합니다. AMM은 주문서(order book) 대신에 유동성 공급자(liquidity provider)와 유동성 수요자(liquidity taker) 사이에 자동으로 가격을 결정하는 방식입니다. AMM은 유동성 공급자들에게 수수료와 보상으로 토큰을 지급하고, 유동성 수요자들에게 저렴하고 효율적인 거래를 제공합니다.
- 커브파이낸스는 커브 파이(Curve.fi)라는 웹사이트를 통해 서비스를 제공합니다. 커브 파이는 다양한 스테이블 코인과 다른 암호화폐를 거래할 수 있는 풀(pool)을 제공합니다. 풀이란 유동성 공급자들이 자신의 자산을 예치하고, 유동성 수요자들이 그 자산을 거래할 수 있는 공동의 자금풀을 말합니다. 커브 파이는 현재 20여 개의 풀을 운영하고 있으며, 각 풀은 다른 암호화폐의 조합과 비율을 가지고 있습니다.
- 커브파이낸스는 CRV라는 네이티브 토큰을 발행하고 있습니다. CRV는 커브파이낸스의 거버넌스(governance)와 인센티브(incentive)를 담당하는 토큰입니다. 거버넌스란 커브파이낸스의 운영과 관리에 관련된 의사결정을 말합니다. 인센티브란 커브파이낸스의 활동과 참여에 대한 보상을 말합니다. CRV를 보유하고 있는 사용자들은 커브파이낸스의 거버넌스에 참여할 수 있으며, 커브파이낸스의 풀에 자신의 자산을 예치하면 CRV를 추가로 받을 수 있습니다.
커브파이낸스는 이러한 특징과 장점으로 인해 디파이 생태계에서 큰 인기와 성공을 거두었습니다. 커브파이낸스는 현재 디파이 시장에서 가장 큰 규모의 유동성을 가지고 있으며, 약 100억 달러(한화 12조원 상당)의 총 잠금량(total value locked)을 기록하고 있습니다. 총 잠금량이란 디파이 프로젝트에 예치된 자산의 총액을 말합니다. 총 잠금량이 높으면 해당 프로젝트가 높은 신뢰도와 인기도를 가지고 있다는 것을 의미합니다.
커브파이낸스 해킹의 과정과 결과
이번 해킹은 2023년 8월 2일에 발생했으며, 커브파이낸스가 사용하는 프로그래밍 언어인 바이퍼(Vyper)에 있는 재진입 취약점(reentrancy vulnerability)을 이용한 것으로 밝혀졌습니다. 재진입 취약점이란, 스마트 컨트랙트가 외부 컨트랙트에 자금을 전송할 때, 외부 컨트랙트가 다시 스마트 컨트랙트의 함수를 호출하여 원하는 결과를 얻는 것을 말합니다. 쉽게 말하면 코인을 출금한 뒤 출금내역이 디파이 시스템에 반영되기 전에 다시 출금하는 것을 말하는데요, 디파이는 중앙 시스템이 아니기 때문에 모든 것은 미리 짜여진 코드와 계약대로 자동으로 이뤄집니다. 하지만 만약 설정된 계약에 오류가 있다면 이 오류를 이용해 디파이에 있는 자금을 빼갈 수 있습니다.
해커는 이러한 재진입 취약점을 이용하여, 커브파이낸스의 일부 스테이블 코인 풀에서 ETH와 DAI를 무제한으로 인출할 수 있는 방법을 찾았습니다. 해커는 ETH와 DAI를 인출한 후, 유니스왑(Uniswap)과 1인치(1inch)라는 탈중앙화된 암호화폐 거래소를 이용하여 다른 암호화폐로 바꾸었습니다. 유니스왑과 1인치는 커브파이낸스와 비슷하게 AMM을 사용하는 거래소입니다. 해커는 이렇게 해서 약 7000만 달러(한화 890억원 상당)의 이익을 얻었습니다. 이번 해킹으로 인해 커브파이낸스의 네이티브 토큰인 CRV의 가격도 급격히 하락했습니다. 또한, 커브파이낸스와 연관된 다른 디파이 프로젝트들도 큰 타격을 받았습니다. 예를 들어, Alchemix는 약 5000 ETH의 손실을 보고하고, MetronomeDAO와 JPEGd는 각각 msETH-ETH 풀과 pETH-ETH 풀이 공격당했다고 발표했습니다 .
커브파이낸스는 트위터를 통해 이번 해킹에 대해 사과하고, 해결책을 찾고 있다고 밝혔습니다. 커브파이낸스는 바이퍼의 재진입 취약점을 수정하고, 보안 강화를 위해 오딧(audit)과 테스트(test)를 진행할 것이라고 말했습니다. 또한, 커브파이낸스는 해커의 행방과 자금의 추적을 위해 여러 기관과 협력하고 있다고 밝혔습니다. 커브파이낸스는 이번 해킹으로 인해 입은 손실을 보상하기 위해 어떤 방법을 취할지는 아직 결정하지 않았습니다.
이번 해킹이 더욱 큰 문제였던 이유는 바로 커브 파이낸스 창업자 마이클 이고르(Michael Egorov 이하 이고르)의 대출 때문인데요, 해킹 전 이고르는 4억 6천 만 개의 커브를 맡기고 다른 디파이에서 1억 1천만 달러(약 1,431억 원)의 암호화폐를 대출을 받았습니다. 만약 이고르가 대출을 갚지 못하거나 커브 가격이 계속 떨어져 이고르가 맡긴 커브의 자산 가치가 낮아지면, 이고르는 맡긴 커브 4억 6천만 개를 모두 청산당하게 되는데요, 그럼 커브 4억 6천만개가 시장에 풀리게 되고, 시가총액의 34% 정도의 엄청난 물량인 만큼 추가 하락은 너무 당연한 일입니다. 다행히도 암호화폐 투자 업체 DWF랩스, 크림파이낸스, BAYC 고래 제프리 황, 저스틴 선 트론 창업자, 유명 투자자 DCFGOD 등에게 커브를 장외거래(거래소를 통하지 않고 개인 거래)로 팔며 대출을 갚아나가고 있습니다. 코인업계 전반적으로 커브를 도우며 디파이 생태계에 힘을 보태고 있습니다.
커브파이낸스 해킹의 영향과 시사점
커브파이낸스 해킹은 디파이 생태계에 큰 영향과 시사점을 남겼습니다. 커브파이낸스는 디파이 시장에서 가장 큰 규모와 인기를 가지고 있었기 때문에, 이번 해킹은 디파이의 취약성과 위험성을 더욱 부각시켰습니다. 디파이는 탈중앙화된 자율적인 금융 서비스를 제공하는 것이 장점이지만, 동시에 보안과 안정성에 대한 책임과 위험도 증가합니다. 디파이 프로젝트들은 스마트 컨트랙트의 오류와 버그를 최대한 줄이고, 해킹에 대비한 대응책을 마련해야 합니다. 또한, 디파이에 투자하는 사용자들도 자신의 자산을 보호하기 위해 주의깊게 행동해야 합니다.
커브파이낸스 해킹은 또한 디파이의 기회와 가능성을 보여주기도 했습니다. 커브파이낸스가 사용하는 바이퍼는 파이썬(Python)과 비슷한 문법을 가지고 있는 프로그래밍 언어입니다. 바이퍼는 솔리디티(Solidity)보다 간결하고 명확하게 스마트 컨트랙트를 작성할 수 있다는 장점이 있습니다. 그러나 바이퍼는 아직 개발 초기 단계에 있으며, 솔리디티보다 오딧과 테스트가 부족합니다. 따라서, 바이퍼의 발전과 성숙을 위해 더 많은 노력과 지원이 필요합니다. 바이퍼는 디파이의 다양성과 창의성을 증진시킬 수 있는 프로그래밍 언어입니다.
커브파이낸스 해킹은 디파이의 위험과 기회를 동시에 보여준 사례입니다. 디파이는 암호화폐와 블록체인의 혁신적인 분야로, 금융 시스템의 변화와 발전을 이끌고 있습니다. 디파이는 아직 완성되지 않은 실험적인 분야로, 많은 도전과 문제가 존재합니다. 그러나 디파이는 또한 많은 잠재력과 가능성을 가지고 있는 분야로, 이번 해킹사태 이후 코인업계의 많은 사람들이 디파이 생태계에 힘을 보태는 모습을 본 것처럼 앞으로도 많은 협력과 발전이 기대됩니다.