28일(현지시간) 암호화폐 전문 매체 디크립트는 중국 최대 가상자산 대출 플랫폼 ‘바벨 파이낸스’가 고객 자금을 무단으로 투기했다는 의혹을 업체 측이 부정했다고 전했다. 이날 바벨 측의 내부 고발자로 추정되는 익명의 유저들이 SNS를 통해 바벨을 비난했다.
바벨 공동창업자 델 왕이 지난 3월 암호화폐 폭락 이후 투자자들의 자금을 이용해 무단으로 이득을 취하고 있다는 점을 인정하는 내용의 녹음 파일이 트위터와 유튜브 등을 통해 게재됐다. 해당 녹음 내용은 언론을 통해서도 알려졌다. 바벨 파이낸스 공동창업자 플렉스 양은 이러한 혐의를 부인했다. 그는 디크립트에 “회사는 고객 자금을 절대 횡령하지 않았으며 고객들과 좋은 관계를 유지하고 있다”고 주장했다.
지난 27일(현지시간) 암호화폐 전문 매체 AMB크립토는 디파이 프로토콜 해치다오(HatchDAO)가 트러스트스왑의 스마트락 기술을 이용해 투자자들의 자금을 먹튀했다고 보도했다. 스마트락은 디파이 플랫폼 트러스트스왑이 개발한 스마트 계약 기반 암호화폐 예약 결제 상품이다. 사용자가 이더리움이나 ERC20 토큰을 사용해 일정한 시간에 결제하도록 설정할 수 있다.
해치다오는 트러스트스왑 기술을 이용해 팀 토큰은 안전하게 락업했다고 투자자들을 안심시켰다. 먹튀 이후 한 사용자는 “트러스트스왑은 잘못된 보안 감각을 심어줘 투자자들이 더 쉽게 사기당하게 만들었다”며 트러스트스왑 측 역시 비판했다. 이에 트러스트스왑 제프 커디키스(Jeff Kirdeikis) 대표는 트위터에 “문을 잠그는 것이 안전을 보장하지 않는 것처럼 트러스트토큰의 팀 토큰 락도 완전하지 않다”고 말했다.
AMB 크립토는 계속되는 디파이 먹튀 사건에 대해 투자자들에게 경고했다. 지난 10일 유동성 채굴 풀 Yfdexf.Finance 역시 프로토콜에 예치된 2천만 달러를 먹튀했다. 미디어는 “높은 이자율로 인해 디파이에 많은 관심이 계속되고 있지만 여전히 많은 사용자가 복잡한 프로젝트에 대한 이해 없이 프로젝트에 투자한다”며 “어느 정도 디파이에 대한 인식과 규제가 필요하다”고 말했다.
디파이 프로젝트의 취약한 보안 문제도 도마에 오르고 있다. 지난 26일에는 스시스왑을 모방한 디파이 프로젝트 젬스왑은 ‘whatitdobb’이라는 이름의 마이그레이션 이전 권한을 받은 개발자에게 공격을 받아 자금을 도난당했다고 트위터에 밝혔다. 구체적인 피해 금액은 밝히지 않았다.
이날 디파이 프로젝트 와이언파이낸스 창시자 안드레 크로녜가 출시한 새 게임 프로젝트 에미넌스(ENM)이 플래시 론 공격을 받아 1500만 달러를 해킹당했다. AMB크립토에 따르면 이 프로젝트는 아직 감사를 다 받지도 않았는데 탈중앙화 거래소 유니스왑에 상장됐다. 크로녜는 트위터에서 “감사를 끝내려면 최소 3주 이상 걸린다”고 밝혔다.
감사를 다 받지 않아 버그가 발생했고 에미넌스는 손쉽게 플래시 론 공격에 노출됐다. 플래시 론이란 대출 받은 암호화폐로 프로토콜 공격이나 조작을 진행해 추가 이득을 확보하고 즉시 담보를 갚는 공격이다. 자금 도난 이후 크로녜는 800만 달러를 디플로이어 계정으로 전송했고 와이언파이낸스는 이 자금을 해킹 피해자들에게 재분배하겠다고 밝혔다.
AMB크립토는 “디파이의 단점은 아무도 프로젝트의 스마트 계약을 승인할 수 없다는 것이다. 별도의 상장 절차를 거칠 필요도 없다”며 “누구나 무엇이든 시작할 수 있으며 스캠도 얼마든지 나올 수 있다”고 말했다. 미디어는 “와이언파이낸스로 유명세를 얻은 크로녜가 발표한 프로젝트이기에 (ENM은) 과대포장됐으며 스캠이 됐다”고 비판했다.
