우크라이나 사이버보안 기업 해큰(Hacken)이 인적 오류로 인한 개인키 유출로 자사 토큰 HAI의 무제한 발행이 가능해져 토큰 가치가 98% 폭락했다고 발표했다.
22일(현지시간) 더 블록에 따르면, 해큰은 토요일 X를 통해 "발행자 역할을 가진 계정의 개인키(이더리움 및 BNB)가 탈취되어 무단 HAI 발행과 BSC 탈중앙화거래소에서의 덤핑이 발생했다"고 밝혔다.
해큰은 공격자가 약 25만 달러를 빼돌렸다고 밝혔지만, 이더리움과 BNB에서 약 9억 개의 HAI 토큰이 발행되며 공급량이 거의 두 배로 늘어나면서 토큰 가격이 급락했다.
토큰은 최대 97% 폭락했다가 일요일 어느 정도 회복했다. 코인게코 데이터에 따르면 HAI의 시가총액은 사건 발생 전 약 1270만 달러에서 일요일 저녁 기준 약 720만 달러로 감소했다.
해큰은 추가로 탈취된 계정의 증거는 없다며, 사건 조사 후 사후 분석 보고서를 발표할 계획이라고 밝혔다.
디마 부도린(Dyma Budorin) 해큰 공동창립자 겸 최고경영자는 X를 통해 "책임은 내게 있다"며 "5년 전 멀티시그 브리지 인프라를 구현하지 않았다. 위험성을 이해했지만 중요한 이유로 브리지 재구성을 미뤘다"고 말했다.
배포자 지갑은 탈취되지 않았기 때문에 해큰 팀은 탈취된 발행자 계정의 권한을 취소할 수 있었다. 해큰은 향후 HAI 보유자들에게 보상할 수 있는 토큰 스왑을 예고하며 X를 통해 "1억 달러 이상 가치의 HAI와 해큰 지분 보유자 간 대규모 합병"이라고 표현했다. 해큰은 더 블록의 논평 요청에 즉시 응답하지 않았다.
해큰이 지난 4월 발표한 1분기 웹3 보안 보고서는 접근 제어 익스플로잇이 웹3 생태계에 대한 현재 최대 위협이라고 지적하며, 1분기에만 16억 달러의 손실을 기록했다고 밝혔다. 보고서는 "스마트 계약 취약점이 여전히 위협이지만, 현재 대부분의 피해는 사람, 프로세스 또는 권한 시스템의 실패로 인해 발생한다"고 밝혔다.