[Xangle Digest]
작성자: Bonk
요약
- 빈스토크(Beanstalk)는 신용 기반 스테이블코인으로, 최근 가상자산 시장에서 크게 주목을 받고 있었음.
- 그러나 거버넌스의 허점을 이용한 플래시 론 공격으로 막대한 자금이 탈취당함.
- 혁신이라고 일컬어지던 빈스톡은 현재 사태를 수습한 후에 새 출발을 도모하는 것으로 보임.
빈스톡의 등장
빈스토크는 기존의 자산 기반 스테이블코인과 알고리즘 스테이블코인과 달리, 신용 기반(credit based) 스테이블코인이다. 빈스톡의 디자인은 스테이블코인의 페깅을 유지하기 위한 담보자산이 필요 없다는 것이 특징이다. Pod라고 불리는 채권 발행을 통해 스테이블코인(BEAN)의 수요와 공급을 조절하는 방식으로 스테이블코인의 페깅을 유지한다.
<스테이블 코인에 대해서 더 알아보기: FRAX의 스테이블코인 혁신, 무엇을 바꿔놓을까?>
이러한 방식의 페그 유지 방식은 곧 큰 반향을 일으켰으며 스테이블코인의 새로운 지평을 열 것으로 기대를 모았다. 그러나 시장의 뜨거운 관심을 받던 중, *플래시 론(Flash Loan)을 이용한 공격에 당하며 이내 1억 8천2백만 달러에 달하는 피해를 입었다.
*플래시 론은 담보자산 없이 자산을 대출하고 한 블럭 내에서 해당 대출금을 되갚는 행위를 말한다.
플래시 론 공격 과정
1. 먼저 가해자는 아베(Aave)에서 3억 5천만 DAI, 5억 USDC, 1억 5천만 USDT, 총 10억 달러에 달하는 금액을 대출받았다.
2. 그리고 3천2백만 달러 어치의 BEAN 토큰을 구매했다. 이는 전체 물량의 30%에 달한다.
3. 이어서 대출받은 DAI, USDC, USDT를 커브 파이낸스(Curve Finance)의 3pool에 대출받은 자금을 입금해 보상으로 주는 3CRV 토큰을 받았다. 동시에 약 2천7백만 달러에 달하는 LUSD도 구매한다.
4. 이어서 3CRV 토큰을 BEAN3CRV-f 토큰으로 바꾼다.
5. 2번과 3번에서 구매했던 3천2백만 달러의 BEAN과 2천7백만 달러의 LUSD는 BEANLUSD-f라는 토큰으로 바꾼다.
여기서 중간 정리를 해보자면 현재 가해자가 들고 있는 토큰은 BEAN3CRV-f와 BEANLUSD-f 두 개다. 그렇다면 가해자는 어째서 이런 특수한 토큰들을 들고 있어야만 할까? 두 토큰은 거버넌스 토큰인 Seed와 Stalk을 지급받을 수 있고, 이를 통해 BEAN에 관한 모든 의사결정권을 가져갈 수 있기 때문이다.
위 두 토큰은 각각 BIP-12와 BIP-16 프로포절에 의해 Seed와 Stalk를 받게 되었고, 가해자는 이 점을 노리고 유동성 풀에 막대한 양의 자산을 예치한 것이다. 빈스토크 전체 투표권의 70%를 점유하게 된 가해자는 곧이어 “비상 실행” 프로포절을 실행하기에 이른다.
비상 실행 프로포절은 프로포절이 만들어진지 24시간이 지나야 하며 67% 이상의 찬성을 얻어야 하는 조건 아래에서 실행이 되는데, 70%의 투표권을 가진 가해자는 비상 실행을 통해 BIP-18를 통과시킨다. BIP-18의 내용에는 BEAN의 스마트 컨트랙트 상의 모든 자산을 가해자의 지갑으로 전송하는 코드가 심어져 있었다.
가해자는 플래시 론 공격 하루 전에 BIP-18과 BIP-19를 제출했는데, BIP-19는 우크라이나에 25만 달러를 기부하는 내용이다. 그러나 가해자는 우크라이나에 25만 달러를 기부하는 내용의 BIP-19를 BIP-18이라는 이름으로 제출했다. 일각에서는 의심을 받지 않기 위해 두 개의 프로포절을 BIP-18로 명명했다고 추측하고 있다.
여기서 재밌는 점은, 가해자는 두 개의 프로포절을 다 실행했다는 것이다. 그래서 우크라이나는 이번 공격을 통해 탈취당한 자금중 25만 달러를 실제 들고 있다.
공격 이후의 상황 전개
빈스토크의 운영진은 본인들의 신상정보를 공개하며 이번 공격과 무관하다는 점을 강조했다. 가상자산 시장은 러그 풀로 대변되는 사기행각이 비일비재하기 때문에 이번 사태도 실수를 가장한 범죄가 아니냐는 의심의 목소리도 나왔기 때문이다.
빈스토크의 개발자들은 디스코드에서 열린 AMA를 통해 현재의 상황을 정리하고 피해자들에게 보상을 할 수 있는 대책을 논의 중에 있다. 일각에서는 BEAN의 채권 발행 메커니즘을 응용한 보상이 효과적일 것이라고 주장하고 있기도 하다.
또 빈스토크는 트위터를 통해 이번 공격의 가해자가 탈취한 자금의 90%를 반납하면 나머지 10%는 화이트해커 보상금으로 줄 것을 약속하기도 했다.
<다이제스트 포인트>
- 빈스토크가 이 사태를 극복하고 시장에서 주목했던 혁신적인 스테이블코인 모델을 다시 시장에 내놓았을때 사용자들의 믿음을 얻을 수 있을지는 미지수이다. 동시에 빈스토크를 포크한 비슷한 스테이블코인 프로젝트들이 출연할 가능성도 고려해볼 수 있을 것이다.