블록체인

DeFi 단상

1. DeFi 여름은 지나갔다. 한국에서는 디파이라는 광풍이 지나갔는지도 언론에서 제대로 조명도, 사용자의 인지도 못 없었던 거 같지만, 주간 수익률 최소 10% 보장, 최대 2~3000%/week 단위의 이익을 내는 프로젝트들이 만들어졌고, 쓰러져갔다. 다들 알만한, Yam, Sushi, Kimchi, Hotdog ... 같은 음식 이름에 기반한 서비스들의 탄생과 죽음을 목도하면서, 별 생각이 들지는 않았고, 그냥 폰지 스캠 하던 애들은 역시 폰지 스캠을 하고 있구나라는 생각이 들 뿐이다.

 

2. 별다른 이야기를 하고 싶은 건 아니고, Uniswap과 Aave의 Flash loan 관련한 공격 기법들이 고도화 되고 있다. 현재, Harvest, OUSD 등등 다양한 서비스들이 Curve Pool의 가격 결정에 기반하여 운용이 되고 있는데, 초단기 대출을 이용한 일시적인 가격 조작을 이용하여 투자금을 날려버리는 공격 기법들이 성행하고 있는 편이다. 대충 100억원 정도 빌려서, 1달러와 가격이 비슷하도록 만들어진 USDT와 USDC 스테이블 토큰의 가격을 각각 0.7달러와 1.2달러로 바꾸고(대량 구매/대량 매도), 이 가격에 따라 원래 1달러였던 (그리고 1달러여야만하는) 스테이블 코인의 순간 가격 변동을 이용하여, 서비스들에 스테이킹한 담보 자산의 평가액을 조작(1달러치가 0.7달러가 되었으니)해서 출금을 시키는 공격을 주로 하고 있다. 뭐 말이 어렵지, USDT와 USDC는 1대1로 교환되어야하는데, 0.7대 1.2로 교환되도록 셋팅을 하고, 이를 이용해서 0.5달러의 스프레드를 만들어서, 담보 대출/투자 대행 서비스에서 이 스프레드 만큼 차익을 보는 공격인데, 이런 허접한 공격에 무참히 시스템이 무너지는 거 보면 진짜 발로 코드를 짰다고 할 수 있을 것이다. 진짜 발로...

 

3. 오늘 새벽 4시경, Pickle의 경우 DAI를 보관하는 Jar를 바꿔치기하여 2000만불 정도의 DAI를 훔치는 사건이 발생했는데, Flash loan 기반 Curve 가격 조작과는 좀 다르게, Jar가 갖고 있는 취약점에 기반해서 공격을 때린 듯하다. 뭐 이러나 저러나 스마트 컨트랙트의 취약점에 기반하고 있는데, 대부분 가격 계산의 실수나, 너무 나이브하게 짜 놓은 코드들 때문에 터지는 건 동일한 증상일 것이다.

 

4. 현재 오딧팅 한다는 어떠한 회사도 이런 공격을 예상 해 내지도, 예상해서 패치를 하지고 못하고 있다. 오딧팅 업체들이 진짜 돈을 날로 벌어먹는다는 생각을 자주 했었는데, 요번에 사고 터지는 거 보면서 진짜로 날로 쳐 먹는걸 전세계에 알렸으니, 오딧팅 업계 쪽에 자정 작용이 있었으면 한다. 뭐, 보안 업계가 그렇지만, 발로 감사하고 발로 일하고 발로 패치하지만... 좀 바뀌어야 뭐가 되지 않을까 싶은 게 있다. 특히,현재 3대장이라고 할 수 있는 감사 업체들이 제일 문제다.

 

5. 탈중앙화는 정녕 민주주의적이고 자유주의적인 것일까? 국가의 해체나 금융 시스템의 독립은 정말 자유를 보장하는 것일까? 아마도 아닐 것이다.