Clipper DEX, “사설 키 유출이 아닌 인출 취약성 탓”
탈중앙화 거래소 클리퍼(Clipper)가 최근 발생한 약 45만 달러에 달하는 해킹 사건의 원인이 사설 키 유출이 아닌 시스템 내부 인출 취약성에 의한 것이라고 밝혔다고 12월 2일 클리퍼의 발표에서 밝혔다. 회사는 제3자가 주장한 것처럼 사설 키가 유출된 것이 아니라 withdrawal 기능의 취약점을 이용해 해킹이 이뤄졌음을 확인했다고 설명했다.
클리퍼는 또한 X 플랫폼을 통해 해커가 12월 1일 두 개의 유동성 풀을 공격해 총 가치 잠금에 약 6%의 영향을 미쳤다고 전했으며, 다른 풀들은 영향을 받지 않았다고 덧붙였다. 문제가 된 기능은 하나의 토큰 형태로 인출을 가능하게 하는 스왑 및 입출금 거래였으며 현재 이는 비활성화됐다.
보안 회사 퍼즈랜드(Fuzzland)의 공동 설립자 차오판 쇼우는 클리퍼의 해킹이 API 취약성에 기인한다고 주장했다. API가 입출금 요청을 서명할 수 있는 취약성을 가지고 있어, 공격자가 예치 이상의 자금을 탈취할 수 있었음을 의미한다.
클리퍼는 현재 사건을 조사 중이며 추가적인 업데이트를 제공할 예정이다. 프로토콜의 스왑 및 입금을 일시 중단한 상태지만 출금은 풀 내 모든 자산과 조합하여 가능하다. 현재 클리퍼는 해커에게 접촉하고 자신들이 협상할 의향이 있는지 알아보기 위해 요청했다. 클리퍼는 또한 도난 당한 자금을 추적하고 이를 회수하기 위한 노력을 기울이고 있다.
이번 해킹 사건은 2024년 11월 말까지 약 14억 8천만 달러의 암호화폐가 도난당한 사건에 추가된다. 이 숫자는 작년 같은 기간에 비해 15% 감소한 것이다. 클리퍼의 창립자인 쉽야드 소프트웨어는 현재 사건에 대한 논평 요청에 즉각 응답하지 않았다.
