탈중앙화 거래소(DEX) 밸런서가 1억1600만달러(약 1340억원) 규모의 디지털 자산을 탈취당했다. 밸런서는 오픈제플린, 트레일오브비츠 등 4개 보안 기관으로부터 11건의 감사를 받았음에도 해킹을 막지 못해, 블록체인 업계에서 보안 감사의 신뢰성에 대한 논란이 제기되고 있다. 공격자는 스마트계약 접근 제어 결함을 이용해 스테이크드 이더(ETH) 기반 자산을 신규 지갑으로 이체했다.
밸런서는 11월 4일 공식 X(구 트위터)를 통해 “이번 공격은 V2 컴포저블 스테이블 풀(Composable Stable Pool)에 한정된 사안으로, 밸런서 V3 또는 다른 풀에는 영향이 없다”고 밝혔다. 이어 “유수의 감사 기관으로부터 다수의 감사를 받았으며, 장기간 버그 바운티 프로그램도 운영해왔다”며 “그럼에도 공격이 발생한 점은 유감”이라고 덧붙였다.
개발자 수하일 카카르(Suhail Kakar)는 “밸런서는 10건 이상의 감사를 받았고, 그중 금고(vault)는 3개 기관이 별도로 검토했음에도 1억1천만 달러가 해킹됐다”며 “이제 ‘누구의 감사를 받았다’는 문구만으로는 보안 신뢰성을 담보할 수 없다는 점을 인정해야 한다”고 지적했다.
밸런서의 깃허브(GitHub)에 공개된 자료에 따르면, 오픈제플린(OpenZeppelin), 트레일오브비츠(Trail of Bits), 세르토라(Certora), ABDK 등 4개 보안 기업이 2021년 이후 총 11건의 스마트계약 감사를 수행했다. 이 중 마지막 감사는 2022년 9월 트레일오브비츠가 스테이블 풀을 대상으로 진행했다.
해킹은 11월 4일 새벽 보고됐으며, 공격자는 스테이크드 이더(ETH, 가격 3577달러 기준) 기반 자산인 스테이크와이즈 OSETH, 래핑 이더(WETH), 리도 wSTETH 등을 포함해 약 1억1천6백만 달러 상당의 자산을 신규 생성된 지갑으로 이체했다. 블록체인 분석업체 넨센(Nansen)의 연구원은 “스마트계약 접근 제어(access check)에 결함이 있어 공격자가 인출 명령을 직접 실행할 수 있었던 것으로 보인다”고 분석했다.
밸런서 팀은 사건 직후 블록체인 트랜잭션 메시지를 통해 해커에게 “탈취 자산을 48시간 내 전액 반환할 경우 최대 20%의 화이트햇(white hat) 보상금을 지급하겠다”고 제안했다. 또 “협조하지 않을 경우 독립 블록체인 포렌식 전문가와 법집행기관, 규제 당국과 협력해 대응할 것”이라고 경고했다.
현재 밸런서는 추가적인 현금 회수 진행 상황이나 보상금 지급 여부에 대해 별도의 공지를 내놓지 않았다.
탈중앙화 거래소(DEX)란? 중앙화된 관리자 없이 스마트계약을 통해 자동으로 거래가 이루어지는 암호화폐 거래소. 사용자가 자산에 대한 완전한 통제권을 가짐.
자동화된 마켓메이커(AMM)란? 전통적인 주문장 방식 대신 유동성 풀을 활용해 자동으로 가격을 결정하고 거래를 체결하는 시스템. 유니스왑, 밸런서 등이 대표적.
컴포저블 스테이블 풀이란? 여러 스테이블코인이나 유사한 가치의 자산을 하나의 풀에 모아 효율적으로 거래할 수 있도록 설계된 유동성 풀.
화이트햇(White Hat)이란? 보안 취약점을 발견했을 때 악용하지 않고 해당 기업에 보고하는 윤리적 해커. 블랙햇(악의적 해커)의 반대 개념.
스마트계약 접근 제어란? 스마트계약에서 특정 기능을 실행할 수 있는 권한을 제한하는 보안 메커니즘. 예를 들어 자산 인출 기능은 관리자만 실행할 수 있도록 제한.
버그 바운티 프로그램이란? 보안 취약점을 발견하고 보고한 사람에게 보상금을 지급하는 프로그램. 해킹을 예방하고 보안을 강화하기 위한 목적.
Q: 감사를 11번이나 받았는데 왜 해킹이 가능했나요? 마지막 감사가 2022년 9월에 진행되어 2년 이상 재감사가 없었고, 스마트계약 접근 제어의 새로운 취약점이 발견되지 않았기 때문입니다. 이는 일회성 감사의 한계를 보여줍니다.
Q: 탈취된 자산은 회수될 수 있나요? 밸런서는 해커에게 48시간 내 자산 반환 시 20% 보상금을 제안했으나, 현재까지 공식 진행 상황은 공개되지 않았습니다. 블록체인 특성상 추적은 가능하나 회수는 해커의 협조 여부에 달려 있습니다.
Q: 디파이 프로토콜을 사용해도 안전한가요? 디파이는 탈중앙화의 장점이 있지만 스마트계약 취약점 리스크가 존재합니다. 대형 감사 기관의 최근 감사를 받았는지, 버그 바운티 프로그램이 활발한지, TVL(예치 자산) 규모는 적절한지 등을 확인해야 합니다.
Q: 보안 감사를 받았다는 게 무의미한 건가요? 아닙니다. 감사는 여전히 중요하지만, “감사를 받았다”는 사실만으로 100% 안전을 보장할 수 없다는 점을 인식해야 합니다. 정기적인 재감사와 실시간 모니터링이 함께 필요합니다.
국내 증시가 AI 거품 우려로 급락했지만 개인 투자자들의 '빚투'(빚내서 투자) 규모가 오히려 사상 최고치를 경신하며…
리플(Ripple) 공동창업자이자 회장인 크리스 라슨(Chris Larsen)의 자산이 153억 달러(약 21조 원)에 달하며 세계 부자 순위…
폴리마켓(Polymarket)의 거래량 중 상당 부분이 워시 트레이딩(wash trading)으로 인위적으로 부풀려졌다는 연구 결과가 나와 예측 시장의…
챗GPT가 정신 건강에 문제가 없던 이용자의 자살과 망상을 유발했다는 집단 소송이 미국에서 한꺼번에 제기됐다. 오픈AI는…
미국 트럼프 행정부가 엔비디아의 최신 인공지능(AI) 칩 수정 버전의 중국 수출을 불허하기로 결정했다. 이는 미·중…
원화 스테이블코인 법안 발의가 임박한 가운데, 발행 주체를 둘러싼 업계의 의견이 첨예하게 대립하고 있다. 한국은행과…