마이너스에서 억 단위 자금을 훔친 해커들의 배후에는 어떤 수상한 작전들이 있을까?
오늘 새벽 북경 시간 기준으로 Solana 생태계의 탈중앙화 거래소 Mango가 해킹을 당해 약 1.15억 달러의 피해를 입었다.
이후 Mango 공식팀은 대응 조치를 취하고 있으며, 해커가 자발적으로 연락하여 상환 문제를 논의할 것을 촉구했다(일부는 보상금으로 보유 가능). "제3자가 유동 자산을 동결하는 조치를 취하고 있으며 예방 차원에서 프론트엔드의 입금 기능을 비활성화할 것"이라며 "상황에 따라 추가 정보를 제공할 계획"이라고 밝혔다.
Solana 생태계 알고리즘 안정화 프로토콜 UXD Protocol은 이번 Mango 해킹 사건으로 약 2,000만 달러의 자금이 영향을 받았다고 밝히면서도, 보험 기금으로 손실을 충분히 메울 수 있다고 전했다.
또한 Solana 생태 수익 집약 프로토콜 Tulip Protocol 역시 이번 Mango 해킹 사건으로 약 250만 달러의 자금 피해를 입었으며, 손실을 감당할 만큼 충분한 자금을 확보하고 있다고 밝혔다.(TechFlow 추가, 원문 미포함 문장)
기존 해킹 사건들과는 다르게 이번 해커는 극적인 전개를 연출하며, realms 플랫폼에 새로운 거버넌스 제안을 게시했다:
Mango 공식팀이 재무 자금(7,000만 달러)을 사용해 사용자 부실채무를 상환할 것을 요구; 이에 동의할 경우 해커는 일부 도난 자금을 반환하겠다고 제안하며, 형사 조사 면제 및 자산 동결 금지를 요청.
암호화 애호가들은 이 해커가 DeFi와 DAO를 매우 잘 이해하고 활용했다고 평가했다.
현재까지,이 제안은 총 3,290만 표의 찬성표를 얻었으며, 그중 3,241만 표는 해커 본인이 투표한 것이며, 통과 요건(6,709만 표)의 절반에도 못 미치는 상태다.
MNGO 가격 조작을 통한 공격
암호화 연구자 @Joshua Lim과 @Mango 공식팀의 사고 보고서를 종합하면 이번 공격 과정은 다음과 같다:
해커는 먼저 Mango 거래소의 A, B 주소 각각에 500만 달러씩 입금했는데, 해당 주소는 다음과 같다:
-
A: CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX;
-
B: 4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa;
그 후, A 주소를 통해 Mango에서 MNGO 퍼피츄얼 계약을 이용해 플랫폼 토큰 MNGO를 숏 포지션으로 매도하였으며, 진입 가격은 0.0382달러, 포지션 규모는 4.83억 개였다. 동시에 B 주소에서는 MNGO를 롱 포지션으로 매수하였으며, 진입 가격은 동일하게 0.0382달러, 포지션 규모 역시 4.83억 개였다. (참고: 다중 포지션을 여는 이유는 Mango 플랫폼의 시장 깊이가 낮아 자신과 상대매매를 하지 않으면 이렇게 큰 포지션을 만들기 어렵기 때문).

(해커의 MNGO 숏 포지션)
초기 포지션 구축 후, 해커는 FTX, Ascendex 등 여러 플랫폼의 MNGO 현물 가격을 공격하여 5~10배 급등시켰다. 이 가격은 Pyth 오라클을 통해 Mango 거래소로 전달되어 가격 상승을 유도했으며, 결국 Mango 플랫폼 내 MNGO 가격은 0.0382달러에서 최고 0.91달러까지 치솟았다.

(MNGO 가격 추이)
이 시점에서 해커의 롱 포지션 수익은 4.83억 × (0.91달러 - 0.0382달러) = 약 4.2억 달러에 달했으며, 이 자산을 담보로 Mango에서 추가 자금을 대출받았다. 다만 플랫폼의 유동성이 부족해 최종적으로 약 1.15억 달러의 자산만 인출되었고, 이는 다음과 같다: 5,441만 USDC, 76.85만 MSOL(2,530만 달러), 76.16만 SOL(2,347만 달러), 281 BTC(535.6만 달러), 326만 USDT, 235.4만 SRM(173만 달러), 3,241만 MNGO(66.7만 달러). 아래 이미지 참조:

(도난된 자산 목록)
사고 발생 후 Mango 공식팀은 10월 12일 10시 37분(Mango 시간 기준) Mango 프로그램 명령어를 동결시켜 프로토콜과의 추가 상호작용을 방지했다.
사실상, 이번 Mango의 해킹 사건은 충분히 예방 가능했던 일이었다.
올해 3월 Discord 사용자 @Ozcal은 커뮤니티에서 Mango의 MNGO 포지션에 제한이 없다는 점을 지적하며, 이를 악용해 가격 공격을 통해 플랫폼 자산을 빼돌릴 수 있음을 경고한 바 있다.
하지만 당시 누구도 이 버그를 주목하지 않았다(해커를 제외하곤 말이다).

(2022년 3월 Mango 디스코드 대화 캡처)
"현물 유동성(오라클 사용 장소)에 기반해 파생상품 포지션을 제한한다면, 현물 가격 공격을 통한 파생상품 거래 악용을 막을 수 있을 것"이라고 Joshua Lim은 조언했다.
프로젝트가 해커에게 항복하나?
공격 이후 해커는 새로운 제안을 게시하며, 공식팀이 재무 자금(7,000만 달러)을 사용해 프로토콜의 부실채무를 상환할 것을 요구했다. 현재 재무 자금은 약 1.44억 달러로, 이 중 8,850만 달러 상당의 MNGO 토큰과 약 6,000만 달러의 USDC가 포함된다.
해커는 만약 공식팀이 위 제안에 동의할 경우 일부 도난 자금을 반환할 것이며, 형사 조사 및 자산 동결을 원치 않는다고 밝혔다. "이 제안이 통과될 경우, 이 계좌의 MSOL, SOL, MNGO를 Mango 팀이 공개한 주소로 송금하겠다. Mango 재무 자금은 남은 부실채무를 상쇄하는 데 사용되며, 모든 부실채무 사용자는 완전한 보상을 받게 될 것이다... 위 내용대로 토큰이 반환되면 어떠한 형사 조사나 자산 동결도 이루어지지 않을 것이다."

앞서 분석한 바에 따르면, 해커가 반납할 자산은 약 4,943만 달러로, 도난액의 약 42%에 해당한다. 즉, 절반 가까운 자산을 해커가 '보상금'으로 보유하겠다는 의미이며, 이 비율은 과거 해킹 사건에서 공식팀이 제시한 상한선보다 훨씬 높다.
Mango 공식팀은 현재 가장 좋은 해결책은 공격자와 소통하는 것이라고 밝혔다.
"Mango DAO의 우선 순위는 추가적인 불필요한 손실 방지, Mango 프로토콜 예금자의 자금 보호, 그리고 Mango DAO 가치 일부라도 회복하는 것이다. 이 문제를 해결하기 위한 가장 건설적인 방법은 이 사건을 일으킨 사람, 즉 프로토콜에서 자금을 이동시킨 사람과 계속 소통하여 우호적으로 해결하는 것이다."
법률 전문가이자 LegalDAO 설립자인 MasterLi는 "어느 국가의 법률 관점에서 보더라도, 이번 투표가 통과되든 아니든 해커의 범죄 성질은 명백하며, 이런 방식으로 개인 책임을 회피하려는 시도는 어느 법 체계에서도 통하지 않는다"고 주장했다.
"또 다른 측면은 DAO 거버넌스 규칙의 문제다. DAO 실체가 없는 상황에서, 나는 DAO 거버넌스 규칙을 DAO 구성원 간의 일종의 계약 또는 협약으로 볼 수 있다고 생각한다. 해커는 도난한 토큰으로 계약 관계에 참여하고 제안권을 행사하고 있는데, 법리는 물론 전혀 설 수 없다. 즉, 해커의 제안 및 투표 권리 자체가 하자가 있는 것이다. 이런 의미에서 '공식팀'이 이를 이유로 이번 제안을 무효화하는 것도 전혀 근거 없는 일이 아니며, DAO의 정신에 어긋난다고 보기도 어렵다. 마치 내가 민주 선거에 참여하는데 누군가 내 투표권을 빼앗아 대신 투표한 경우, 그 투표는 분명 무효인 것과 같다."
현재 공식팀이 최종적으로 이 제안을 수용하고 실행할지는 불확실하다. 기사 작성 시점 기준, 해커의 제안은 3,290만 표의 찬성표를 얻었으며, 그중 3,241만 표는 해커 본인이 투표한 것이며, 통과 기준인 6,709만 표까지는 아직 상당한 거리가 남아 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














