아비스왑 ‘러그풀 사기’ 시도 드러나…내부고발자 “사용하지 말라”

아비트럼의 탈중앙화 거래소(DEX)인 아비스왑(ArbiSwap)에서 러그풀 사기가 있다는 내부 고발이 나와 화제가 되고 있다.

트위터 RugDocIO를 보면, 아비스왑 개발자가 컨트랙트 주소를 0x5e7a로 변경한 것으로 나타난다. 새 주소의 컨트랙트에는 아래 스크린샷과 같이 ‘토큰 복구'(recoverToken) 기능이 포함되어 있다. 주소의 배포자만 컨트랙트로 전송된 토큰을 복구할 수 있는 ‘onlyOwner’가 들어가 있는 기능이다.

이용자는 직접 인출 가능

내부 고발자들은 이용자들에게 이 조작된 컨트랙트에 토큰을 보내지 않기 위해선 아비스왑을 이용해선 안 된다고 경고했다. 또한 이용자가 악성 컨트랙트를 건드렸다면, 승인을 취소하라고 권했다.

Contract was swapped to 0x5e7aBD428e2BE79af3317DbdF2BffC31BF7075cF which contains recoverToken function. This function was used to "recover" user funds to the dev 😿

If you interacted with these contracts revoke here: https://t.co/dphFMnxXgg

— Rugdoc.io (@RugDocIO) March 2, 2023

아비스왑의 초기 계약에 자금을 예치한 사용자의 자금은 안전하다. 다만, 웹사이트를 이용하는 대신 직접 컨트랙트와 인터랙트하여 자금을 인출해야 한다.

아비스왑 개발자는 보도 시간 약 13시간 전에 악성 컨트랙트를 생성했다. 보안 기관의 신속한 조치 덕분에 최대한 많은 사용자가 자금을 보호할 수 있었다는 평가가 나온다.