이더리움 스마트 컨트랙트에서 ERC20 기반 토큰들에 대한 시세 조작으로 이어질 수 있는 보안 취약점이 발견됐다.

폴로니엑스, 오케이엑스, 후오비 등 이더리움 ERC20 기반 토큰이 상장된 일부 암화화폐거래소들은 25일(현지시간) 문제가 해결될때까지 ERC20 기반 토큰 예치 및 인출을 잠정 중단했다. 폴로니엑스는 이후 서비스를 재개했다.

앞서 라미네즈라는 이름의 사용자가 23일 블로그 사이트 미디엄을 배치오버플로우라는 버그가 발견됐다는 내용을 먼저 올렸다.

해당 버그는 악의적인 공격자가 대규모 토큰을 발행할 수 있게 함으로써 시세 조작에 악용될 수 있다는 것이었다. 10여개 이상의 ERC 20 기반 스마트 컨트랙트가 이번 취약점의 영향권에 있는 것으로 전해졌다.

ERC(Ethereum Request for Comments)20은 이더리움 네트워크 기반으로 발행되는 토큰의 표준으로 스마트 컨트랙트를 지원해야 한다.

라미네즈는 이번 취약점은 블로그 포스팅을 통해 오프라인 거래 서비스 등 중앙화되지 않은 암호화폐 거래 환경에서도 문제가 될 수 있다고 지적했다.

이더리움 스마트컨트트랙트가 보안 취약점 논란이 휩싸인 것은 이번이 처음이 아니다. 싱가포르 국립대학교(NUS, National University of Singapre)는 최근 연구자료를 통해 3만 4000여개의 이더리움 스마트 컨트랙트가 보안에 취약하다고 경고한 바 있다.

3월말에는 미국 대형 암호화폐거래소인 코인베이스가 스마트 컨트랙트 취약점 버그로 인해 사용자들이 스스로 무제한량의 이더리움을 훔칠 수 있다는 사실이 밝혀졌다. 코인베이스는 해당 취약점을 찾아낸 네덜란드 업체 VI컴퍼니에 1만달러를 보상했다.

이번 이슈는 유명 암호화폐지갑서비스인 마이이더월렛(MEW)의 DNS 서버가 취약점으로 인해 공격당했다는 소식이 나온지 하루만에 나온 것으로 최근 이어진 암호화폐 시장의 상승세에는 부정적인 영향을 미칠 것으로 보인다. 

MEW에 24일 밤 12시쯤 일부 DNS 등록 서버가 해킹돼 MEW 서비스를 찾는 사용자들을 피싱 사이트로 유도하는 상황이 벌어졌다. MEW를 찾는 모든 방문자들이 해킹에 영향을 받는 것은 아니지만 구글 DNS를 쓰는 사용자 다수가 공격에 영향을 받았을 것으로 보인다.

MEW는 "어느 서버가 공격을 받았는지를 확인중에 있다"면서 구글 DNS를 쓰는 사용자들이 클라우드플레어 DNS로 바꿀 것을 권고했다.