25일 코인포스트가 가짜 앱토스(APT) 입금 처리 논란에 대해 보도했다.
해커들이 가짜 APT 토큰을 대량 배포
국내 대형 거래소 업비트에서 24일 가짜 암호화폐가 입금 처리되어 불특정 다수의 계정에 배포돼 혼란을 빚고 있다.
구체적으로는 누군가 ‘ClimAPT Gift’라는 이름의 가짜 앱토스(APT) 토큰을 만들어 이를 업비트의 불특정 다수 계정에 배포했다. 약 380,000개의 주소로 약 30~50개의 가짜 APT 토큰이 전송되었다. 총액은 약 9,500만 달러(약 1268억원)가 될 것으로 보인다.
입금된 가짜 APT 토큰은 총 34억 달러 상당이었지만, 범인은 트래블 룰을 피하기 위해 일부만 송금했을 것이라는 의견도 나왔다.
※ 트래블 룰이란, FATF(국제자금세탁방지기구)가 제창하는 자금세탁 등 방지를 위한 국제적 전신송금에 관한 규칙을 말한다. 암호화폐 서비스 프로바이더(VASP)는 거래 시 송금자와 수취인의 정보를 수집·교환하여 그 정보의 정확성을 보증하는 것이 요구된다. 대상이 되는 VASP 간 암호화폐 송금으로 국제적인 본인확인(KYC) 룰이 적용된다.
가짜 토큰이 진짜로 인식된 배경
블록체인 기업가 MINGBB는 가짜 토큰이 APT로 인식돼 버린 이유를 분석했다.
업비트가 APT 토큰 입금 반영 처리에서 ‘type argument’ 체크에 실패해 비슷한 함수(function) 전송이 모두 진짜 APT 토큰으로 인식돼 버린 것으로 보인다고 밝혔다.
프로그램 내에서 type argument가 사용되는 경우 일반적으로 특정 데이터형이나 객체의 종류를 지정하기 위해 사용되지만, type argument 체크가 잘못 실시되어 정확한 APT 토큰의 종류를 확인할 수 없었음을 시사하였다.
한국의 DeFi(탈중앙화금융) 투자가 Definalist는 MINGBB의 설명을 인용해 다음과 같이 말했다.
“정상적인 상황에서는 함수가 0x1::aptos_account::transfer_coins인 경우 조건으로서 argument【1】의 값을 체크할 필요가 있다.
그러나 이번에 함수가 0x1::aptos_account::transfer_coins인 경우는 그대로 APT 토큰으로 인식되어 버린 것 같다.”
이로 인해 큰 보안 위험을 수반하는 잘못된 트랜잭션이 발생할 가능성이 생긴 것으로 보인다.
업비트 대응
이 가짜 토큰으로 인해 업비트에서의 APT 거래는 일시적으로 급증했다.
업비트 측은 가짜 토큰을 사고 판 사용자에게 전화 연락 후 환불을 요구했다. 이번에 배포된 토큰은 정당한 사용자 소유물이 아니기 때문에 반납 의무가 있다. 차액에 대해서는 시세에 따라 보전되지만, 거부했을 경우는 법적 조치를 취할 가능성도 있다고 한다.
업비트는 공식 발표에서는 앱토스(APT) 지갑 유지보수를 위해 APT 입출금 서비스를 일시 중단한다고 밝힌 바 있다. 현재는 입출금 재개.
앞으로는 범인 수색이 이뤄질 것으로 예상된다. 한국에서는 고객신원확인(KYC)이 철저하기 때문에 범인은 조만간 발견되고 업무방해 등의 혐의로 고소당하는 것 아니냐는 의견도 나오고 있다.
‘0xdf1’ 주소 고래는 5시간 전에 바이낸스에서 1,029만 CRV를 추가로 출금
비트코인 반감기 85% 완성, 최고치에 가까운 장기 보유자 공급량 보유
1년 안에 비트코인 1개를 소유하기 위해 매일 얼마를 투자해야 할까?
■ 11월 코인 일정 모아보기(이동)
■ 텔레그램 소식방 https://t.me/coincodekr 코인코드에 올라가지 않는 다양한 소식을 공유.
※ 단순 개인 블로그인 코인코드는 해외 소식을 의역 & 참고한 것임을 밝힙니다. 코인코드는 팩트에 기반하지 않으며, 오역이
있을 수 있습니다. 그래도 괜찮으신 분들만 보세요. 코인코드는 투자 판단의 근거로 활용될 수 없습니다!
※ 오타는 이해하고 넘어가주세요.
[ 코인코드 (coincode.kr), 공유 하시게 되면 출처는 꼭 남겨주세요. ]