인기 플레이투언(P2E)게임인 엑시 인피니티를 구동하는 블록체인 네트워크 ‘로닌 네트워크’에서 7,400억 원 상당의 암호화폐가 탈취당하는 해킹 사고가 발생했다. 역대 디파이(DeFi, 탈중앙화금융) 네트워크에서 발생한 해킹 사고 중 최대 규모다. 하지만 엑시 인피니티 운영사 스카이마비스(Sky Mavis)는 사고 발생 엿새만에 피해 사실 파악에 나선 것으로 드러나 논란이 더욱 가중될 전망이다.
30일 업계에 따르면 지난 23일(현지시간) 로닌 네트워크에서 이더리움(ETH) 7만 3,600개와 스테이블코인 USD코인(USDC) 2,550만 개를 도난 당하는 해킹 피해가 발생했다. 이날 오후 3시 24분 기준으로 6억 1,600만 달러(약 7,400억 원)에 달하는 규모다.
로닌 네트워크는 스카이마비스가 엑시 인피니티 구동을 위해 지난해 2월 자체 개발한 이더리움 사이드체인이다. 엑시 인피니티가 이더리움 메인넷을 사용하며 문제가 돼 왔던 높은 가스비(거래 수수료)를 낮추기 위해 개발됐다. 지난해 4월 28일 이더리움에서 로닌 네트워크로의 이전을 모두 마친 이후부터 엑시 인피니티는 로닌 네트워크 기반으로 가동되고 있다.
로닌 네트워크가 29일(현지시간) 공개한 사고 보고서에 따르면 이번 해킹은 검증자(validator) 노드의 프라이빗키(private key)를 해킹하는 방식으로 이뤄졌다. 로닌 네트워크는 총 9개의 검증자 노드로 구성돼 입출금이 발생할 때마다 이들 중 5개 이상의 노드의 승인을 받게 돼 있는데, 해커가 5개 노드의 프라이빗키를 해킹하는 데 성공한 것이다. 로닌 네트워크는 해킹 피해를 당한 노드는 스카이마비스 노드 4개와 엑시 다오(DAO, 탈중앙화자율조직)에서 운영하는 제3자 노드다 1개다.
이번 해킹 사고와 관련해 업계에선 스카이마비스가 사고 발생 6일만에야 해킹 사실을 인지한 점에 대해 문제를 제기하고 있다. 익명성이 보장된 블록체인의 특성상 해킹 발생시 자금 추적을 통해 해킹에 연루된 모든 계정을 동결시키는 등의 방식으로 피해를 막을 수 있어 해킹 사실을 늦게 알아낸 경우 이 추적이 어렵기 때문이다.
로닌 네트워크는 사고 보고서에서 “지난 23일 해킹이 발생한 사실을 오늘(29일) 아침 한 이용자가 로닌 브릿지에서 ETH 5,000개를 인출할 수 없다는 문의를 접수한 것을 보고 인지했다”며 "범죄자들을 처벌하기 위해 다양한 정부 기관들과 직접 협업하고 있고 로닌 네트워크에 있는 엑시인피니티(AXS), 로닌(RON), 스무스러브포션(SLP)은 모두 안전하다”고 설명했다.
블록체인 전문 매체 우 블록체인(Wu Blockchain)은 “해커의 지갑에 있는 자금 중 일부가 암호화폐 거래소 바이낸스로부터 이체된 것으로 나타났다. 1,220개 ETH은 암호화폐 거래소 FTX 주소로 전송됐다"며 “중앙화 거래소와 해커 지갑 간 이체 기록은 매우 드물기 때문에 이 기록을 통해 해커 추적이 더욱 쉬워질 수 있다”고 자금 추적 상황을 전했다.
업계 전문가들은 이번 해킹 사고 발생의 근본적인 원인으로 로닌 네트워크와 같은 크로스체인 브릿지 프로젝트의 부실 운영을 지적한다. 블록체인 보안 서비스 업체 베오신(Beosin)는 로닌 네트워크 해킹 사고 분석 보고서에서 “크로스체인 브릿지 프로젝트들은 서명 서버 보안을 철저히 관리해 만약 서명 서비스 접속이 끊길 경우 모든 서비스를 중단하고 해킹을 대비해야 한다”며 “다중 서명 검증의 경우 한 검증자가 다른 검증자에게 서명을 직접 요청하는 것이 불가능하게 서명이 완전 분리돼 독립적으로 검증을 받아야 한다”고 조언했다.
한편 이더스캔 데이터에 따르면 이번 해킹을 통해 탈취된 ETH 가운데 상당수는 여전히 해커의 지갑에 남아있는 것으로 확인됐다. 지갑에 남아있지 않은 나머지 6,250개 ETH은 여러 지갑 주소로 나뉘어 전송됐다. 스카이마비스는 현재 로닌 네트워크의 모든 입출금을 막아 놓은 상태다.
- 김정우 기자
- woo@decenter.kr