탈중앙화 거래소(DEX) Clipper는 최근 발생한 45만 달러 규모의 해킹 사건이 "출금 기능의 취약점" 때문이었다고 밝히며, 제3자가 제기한 프라이빗 키 유출 가능성을 부인했습니다.

Clipper는 12월 1일 공격자가 두 개의 유동성 풀을 악용해 전체 예치 자산(TVL)의 약 6%를 탈취했다고 발표했습니다. 그러나 다른 풀은 영향을 받지 않았으며, 현재 공격은 종료된 상태라고 덧붙였습니다.

Clipper는 X(구 트위터) 게시물을 통해 "제3자가 프라이빗 키 유출 가능성을 제기했으나, 이는 Clipper의 설계 및 보안 아키텍처와 일치하지 않는다"며, 유출 가능성을 부인했습니다.

이어 "하나의 토큰 형태로 출금을 허용하는 기능(교환 및 입출금 거래를 결합한 기능)은 비활성화되었다. 이번 취약점이 악용된 기능으로 보인다"고 설명했습니다.

API 취약점 의혹 제기

보안 회사 Fuzzland의 공동 창업자인 Chaofan Shou는 X를 통해 Clipper가 "API 취약점(프라이빗 키 유출 가능성 포함)"으로 인해 해킹당했을 수 있다고 주장했습니다. 그는 API가 공격자가 입출금 요청에 서명을 하고 예치금보다 더 많은 자금을 탈취할 수 있도록 허용했을 가능성이 있다고 밝혔습니다.

해킹 대응 및 피해 복구 노력

Clipper는 현재 이번 사건을 조사 중이며, 추가 업데이트를 제공하겠다고 약속했습니다. 프로토콜 내 스왑 및 예치를 일시 중단했지만, 출금은 허용하고 있습니다. 다만 출금은 풀 내 모든 자산의 혼합 형태로만 가능합니다.

Clipper는 도난된 자금을 추적하고 있으며, 공격자에게 "대화를 원한다면 연락해달라"고 요청했습니다.

이번 사건은 2024년 11월 말까지 약 14억 8천만 달러에 달하는 암호화폐 해킹 피해 금액에 추가되었습니다. 이는 전년 같은 기간 대비 15% 감소한 수치라고 Immunefi 보고서는 전했습니다.

Clipper의 개발사인 Shipyard Software Inc.와 Shou는 업무 시간 외 요청에 즉각 응답하지 않았습니다. Clipper의 이번 해킹 사건은 암호화폐 보안의 중요성을 다시 한번 강조하며, 추가적인 복구 및 대응 결과가 주목됩니다.

• 페이스북 공유
• 트위터 공유