이더리움 덱스 프로토콜 에어스왑(AirSwap)의 개발자, 중요한 공격 취약성 밝혀

더리움(ETH) 기반의 탈중앙화 거래소 프로토콜인 에어스왑(AirSwap)의 개발자들이 이 시스템의 새로운 스마트 컨트랙트에서 중요한 취약성을 발견했다고 발표했다.

에어스왑 팀은 9월 13일에 게재된 Medium 포스팅을 통해 이같은 사실을 밝히고 사용자들을 위한 해결책을 발표했다.

취약성에 따른 피해는 제한적

이 발표에 따르면, 지난 9월 12일, 에어스왑 개발팀은 새로운 스마트 컨트랙트에서 취약점을 발견하고, 해당 스마트 컨트랙트를 발견 후 24시간 이내에  이전 버전으로 되돌렸다. 만일 문제의 공격이 발생했더라면 공격자가 특정 조건에서는 상대방의 서명 없이도 스왑을 수행할 수 있었을 것이다. 이러한 취약성에 따른 피해 범위는 다음과 같이 제한적인 것으로 알려졌다.

“영향 받은 코드가 에어스왑 시스템 내에 존재한 시간은 24시간 미만이었으며, 9월 11일 정오로부터 9월 12일 새벽 사이에 에어스왑 인스턴트(AirSwap Instant)를 사용한 일부 사용자에게만 영향을 미쳤다. 처음에 이 패턴과 일치하는 취약 주소 20개를 파악했지만, 위험에 처한 계정을 10개로 신속하게 줄였다.”

위험에 처한 주소는 9개뿐

에어스왑은 이 문제가 발견된 직후 공격 가능한 스마트 컨트랙트를 구 버전으로 되돌렸으며, 에어스왑 인스턴트도 트레이더(Trader) 제품도 이 취약성으로 인해 영향 받지 않았다고 밝혔다. 이 발표에서는 해당 기간 동안 공격 가능한 기능을 사용했던 9개의 이더리움 주소도 밝혔다.

자금 손실을 막기 위해 모종의 조치를 취해야 하는 것은 9개 주소의 소유자뿐이다. 좀더 정확히 말하자면, 이들은 해당 링크를 방문해 취약한 스마트 컨트랙트에 대한 허가를 취소해야 한다.

코인텔레그래프는 지난 7월 중순에 0x탈중앙화 거래소 프로토콜의 이더리움 스마트 컨트랙트 코드에서 취약성이 발견되어 중단되었다고 보도한 바 있다.