|
가장 최근의 해킹 사고는 솔라나의 크로스 체인 브리지 서비스 ‘웜홀(Wormhole)’에서 발생했다. 해커들은 무려 3억 2400만 달러어치의 랩트(wrapped) 이더리움(WETH)을 탈취해 갔다. 한화로 3900억 원이며 클레이스왑의 해킹 피해액보다 무려 177배 많다. 디파이 해킹 피해 규모로는 역대 두 번째다.
해커들은 웜홀의 취약한 보안을 공략했다. 웜홀의 크로스 체인 브리지는 여러 블록체인 메인넷 간에 토큰을 자유롭게 옮길 수 있도록 도와주는 서비스다. 한 블록체인에 암호화폐를 맡기면 래핑(wrapping)된 랩트 토큰을 받아 다른 메인넷 위에서 사용할 수 있다. 웜홀 해커들은 스스로 발행한 WETH를 이더리움 블록체인으로 옮기고 실제 이더리움(ETH)으로 바꿔 인출하는 방식으로 암호화폐를 탈취했다.
디파이 역사상 가장 많은 피해액을 기록한 ‘폴리네트워크’ 해킹 사건도 크로스 체인 브리지의 허술한 보안을 노렸다. 지난해 8월 폴리네트워크는 6억 1100만 달러(약 7100억 원) 상당의 암호화폐를 도난당했다. 해커가 탈취한 암호화폐는 각각 바이낸스 체인, 이더리움, 폴리곤 기반의 블록체인 지갑 3개가 보유하고 있었던 것이다. 크로스 체인 형태여서 서로 다른 블록체인 네트워크 지갑을 동시에 해킹하는 것이 가능했다. 해커는 보안의 취약점을 알리기 위해 해킹을 감행했다고 밝히기도 했다. 그는 탈취한 암호화폐를 옮기면서 이더리움 트랜잭션 메시지를 통해 “폴리네트워크에서 버그를 발견했는데 내부 인사들이 이를 숨기고 악용하기 전에 폭로할 책임이 있다고 느껴 해킹을 했다”고 주장했다.
크로스 체인 해킹 사건이 반복되자 전문가들은 크로스 체인의 보안성을 경고하고 나섰다. 이더리움 창시자 비탈리크 부테린은 미국 최대 커뮤니티 레딧에서 진행된 AMA(Ask Me Anything)에서 “블록체인 기술의 미래는 크로스 체인이 아닌 멀티 체인”이라는 의견을 밝혔다. 부테린은 “내가 멀티 체인에 낙관적인 것은 브리지의 보안 한계 때문”이라며 “이더리움 기반의 자산은 이더리움에, 솔라나 기반의 자산은 솔라나에서 홀딩하는 게 항상 안전하다”고 말했다.
자그디프 시두 시스코인(SYS) 최고기술책임자(CTO)도 같은 의견을 나타냈다. 그는 “웜홀 해킹은 솔라나 팀이 합의 코드에서 특정 작업을 수행해 발생한 외부성에 의해 가능했다”며 “크로스 체인 거래와 브리징(bridging)이 얼마나 복잡한 것인가를 보여준 사건”이라고 분석했다.
