크로스체인 브릿지 프로토콜 노마드(Nomad)가 지난 2일 해킹 공격을 당했다. 피해 금액은 약 1억 9000만 달러(약 3500억 원)로, 전체 암호화폐 프로젝트 해킹 규모에선 6위에 해당하며 오딧(코드 검수)을 받은 프로젝트 중에선 2위에 달하는 큰 규모의 피해액을 남겼다.
공격 방법은 단순했다. 노마드 팀이 실수로 제로 루트(0x00)를 유효한 루트로 설정해 거래 호출 데이터에서 주소를 자신의 지갑으로 변경하면 누구나 컨트랙트에서 빼갈 수 있는 구조였다. 이외에도 해킹이 일어나기 나흘 전인 7월 29일에 폴리체인(Polychain), 코인베이스 벤처스(Coinbase Ventures), 오픈씨(OpenSea), 크립토닷컴 캐피탈(Crypto.com Capital) 등으로부터 지난 4월 대규모 시드 투자를 유치한 내용을 공개한 점이 유저들의 공분을 사고있다.
현재 노마드의 총 자산 가치(TVL)는 해킹 전 1억 9000만 달러(약 3500억 원)에서 1만 달러(약 1000만 원)까지 내려갔다.
브릿지 해킹 사건은 이번이 처음이 아니다. 역대 해킹 금액 규모 1위는 로닌 네트워크(Ronin Network)로 6억 2000만 달러(약 8060억 원) 규모, 2위는 폴리 네트워크로 6억 1000만 달러(약 7930억 원), 웜홀(Wormhole)은 3억 2000만 달러(약 4100억 원)로 3위를 기록했다. 앞서 언급한 순위는 브릿지 해킹 규모 순위가 아니다. 전체 암호화폐 해킹 사건에서 피해 금액 1위부터 3위를 모두 브릿지 해킹이 기록했다.
블록체인 보안 업체 슬로우미스트(SlowMist)에 따르면 2022년 상반기 크로스체인 브릿지 보안 사고는 7건 발생했으며, 총 10억 4000만 달러(약 1조 3520억 원)에 달하는 피해액을 기록했다고 밝혔다. 같은 기간 거래소 해킹으로 발생한 피해액이 약 7700만 달러(약 1천억 원)인데 비하면 훨씬 큰 금액이다. 왜 이런 일이 일어날까. 유독 브릿지가 해킹에 취약해서일까? 그렇기도 하고 그렇지 않기도 하다
우선 동일한 빈도로 해킹이 일어난다고 가정했을때, 브릿지는 다른 프로토콜에 비해 큰 규모의 피해를 입을 수 밖에 없다. 각각의 블록체인을 하나의 국가라고 가정하면, 그 위에 올라가 있는 DEX는 내수 유통을 책임지는 화물차에 비유할 수 있을 것이다. 같은 시각에서 블록체인을 서로 연결하는 크로스체인 프로토콜인 브릿지는 무역선이라 할 수 있겠다. 화물차가 해킹됐을 때보다 무역선이 해킹됐을 때 피해가 더 큰 것은 어느정도 자연스러운 일인 셈이다. 블록체인 끼리의 연결이 많아질수록 브릿지의 TVL 규모는 커질 수 밖에 없는 것이다.
단순히 해킹뿐만 아니라 서로 얽혀있는 체인의 흥망도 영향을 끼친다. 코스모스 기반 DEX 앱체인 오스모시스(Osmosis)는 여러 코스모스 기반 체인 중 테라가 큰 지분을 차지하고 있었다. 오스모시스 유동성 풀 TVL의 큰 부분을 차지하던 LUNA와 기축통화 역할을 하던 UST가 무너지면서 오스모시스 생태계도 큰 타격을 받았다.
브릿지의 기술적 문제도 간과할 수 없다. 서로 다른 체인간의 통신을 중개하는 프로토콜이니 만큼 공격할 수 있는 지점이 다양하다. 앞서 언급한 로닌 해킹 사건은 검증인 노드키 탈취가 문제가 되었고, 폴리 네트워크는 브릿지에 묶인 자산에 직접 접근할 수 있는 관리자 주소를 빼앗긴 게 치명적이었다. 여기에 최근에는 새로운 토큰인 랩핑 토큰을 발행하는 트랜잭션을 조건없이 발행시키는 등의 다양한 해킹 수단이 둥장하고 있다. 일반적인 DEX보다 공격 가능한 수단이 다양하다고 할 수 있는 셈이다.
블록체인 간 통신은 블록체인 기술 인프라에 필수적인 요소로 오랫동안 언급돼왔다. 실제 시장 상황도 이런 환경을 예고하고 있다. 2020년 8월까지만 해도 어느 정도 유의미한 TVL을 가진 퍼블릭 체인은 10개가 채 되지 않았으나, 2년 사이에 100여개가 넘는 체인이 새로 등장했다. 요즘들어 앱체인이 주목을 받으면서 본인들 제품을 위한 자체 체인을 개발하는 경우도 증가하는 추세다. 앞으로 블록체인의 수는 더욱 늘어날 것이고, 체인 간에 안전하게 자산을 이동시키는 크로스체인 기술 수요도 덩달아 커질 것이다.
현재 가장 시급한 문제는 기술적인 문제를 제대로 해결하는 것이다. 앞서 설명한 로닌, 폴리네트워크, 웜홀 중 기술감사(audit)를 받은 프로토콜은 웜홀 밖에 없다. 기술감사를 받았다고 해서 해킹에 안전하다는 보장은 되지 않겠지만, 최소한의 성의 문제다. 브릿지 프로젝트들의 운영 행태를 유심히 보면 안전하게 보안성을 확보해 브릿지 서비스를 운영하는 것 보다는 투자 사실 등을 흘리며 플랫폼 가치를 높게 만드는데만 골몰하는 것은 아닌가 하는 생각도 든다. 브릿지를 활용하는 일반 투자자들도 이런 점들을 유심히 참고하면 좋을 것 같다
- 블리츠 기자
- woo@decenter.kr