6억달러 암호화폐 탈취하고 절반 돌려준 해커, 왜?

탈중앙화금융(DeFi, 이하 디파이) 가상자산(암호화폐) 네트워크 업체인 폴리네트워크(Poly Network) 에서 무려 6억1200만달러어치의 암호화폐가 사라지는 해킹 사고가 발생했다. 디파이 업계 사상 최대 규모 해킹이다.

공격자들은 폴리네트워크의 시스템 취약점을 악용해 이더리움(ETH), 바이낸스(BSC), 폴리곤(Polygon) 등으로 암호화폐를 탈취한 것으로 분석됐다.

블록체인 보안 전문업체인 슬로우미스트(Slowmist)와 블록체인 데이터 분석 전문업체인 체이널리시스(Chainalysis)는 지난 11일 폴리네트워크 해킹 관련 분석 내용을 블로그 등 웹사이트에 게시했다. 이에 따르면, 폴리네트워크가 크로스체인(Cross-Chain) 거래를 수행하는데 사용하는 스마트계약의 익스플로잇을 이용해 강도가 해제되면서 암호화폐 자산을 훔친 것으로 나타났다.

이 사건이 발생한 뒤 폴리네트워크는 트위터에 해킹 사실을 공개했다. 그리고 이 트윗에서 해커들에게 훔친 자산을 반환할 것을 촉구하면서 대화를 요청하기도 했다. 이후 해커는 실제로 폴리네트워크에 메시지를 보냈고, 암호화폐를 반환 절차를 진행했다.

12일(현지시간) 폴리네트워크의 트위터에 따르면, 지금까지 반환된 암호화폐는 총 3억4200만달러 규모이다.

이번 해킹을 감행했다고 주장한 익명의 해커는 거래 계정에 포함된 메시지에 훔쳤던 자산을 돌려준 이유를 남겨놓은 것으로 나타났다.

CNBC 보도에 따르면 그 해킹 이유는 우선 “재미 때문(For Fun)”이었다. 이 익명의 해커는 “나는 돈에 큰 관심이 없다. 공격받으면 사람들이 타격을 입는다는 것을 알지만 이같은 해킹에서 배울 점이 있지 않았겠냐?”고 했다. 해킹 후 훔친 자산을 돌려준 이유가 바로 교훈을 주기 위해서라는 의미다.

디파이는 탈중앙화(Decentralize)와 금융(Finance)의 합성어로 만들어진 용어로, 탈중앙화된 금융 시스템을 일컫는다. 정부나 금융기관 등 중앙기관의 통제나 개입 없이 분산원장 기술인 블록체인 네트워크를 활용해 스마트계약을 기반으로 동작하는 금융서비스를 뜻한다. 금융회사 없이 암호화폐 송금, 대출, 투자, 결제 등과 같은 다양한 금융거래서비스를 제공하는 것을 목표로 하고 있으며, 최근 빠르게 성장할 것으로 전망되는 분야다.

이번 최대 규모 해킹 사고로 디파이 생태계의 신뢰성을 무너뜨리는 결과를 남길 수 있다는 이야기가 나온다. 비단 해커의 말이 아니더라도 폴리네트워크를 포함한 암호화폐 거래소와 디파이 서비스 제공업체들은 금전에 버금가는 자산을 다루는만큼 정보보호 조치를 크게 강화해야 한다. 보안 미비로 인해 대규모 암호화폐가 한순간에 사라지거나 중요한 개인정보가 탈취되는 해킹 사고는 빠른 성장세를 나타내는 디파이나 암호화폐 서비스에 대한 불신과 우려만 증가하게 만들 수 있기 때문이다.

동시에 암호화폐 생태계가 성장하고 참여자가 더욱 늘어나면서 투명성이 강화되면서 해킹 대응 등에서도 긍정적으로 작용할 것이란 전망도 동시에 나오고 있다.

체이널리시스는 블로그에서 “폴리네트워크 해킹과 자산 반환 사례는 대규모 암호화폐 도난을 막기가 점점 더 어려워지고 있다는 것을 보여준다. 이는 직관적이지 않게 들릴 수 있다. 이번 6억달러 도난은 역사상 가장 큰 디파이 해킹이며, 빠르게 성장하는 디파이 생태계가 해킹에 매우 취약하다는 점을 보여준다”면서도 “그러나 암호화폐 도난은 법정 펀드(Fiat Fund) 절도보다 달아나기가 더 어렵다. 이는 블록체인의 고유한 투명성 때문”이라고 분석했다. 이어 “해킹 후 몇 분 만에 공격자의 자금 이동을 추적하는 수많은 업계 운영자, 기자와 익명의 탐정의 업데이트로 트위터는 불타올랐다. 공격자는 자금을 어디로든 몰래 옮기는 것은 사실상 불가능했을 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network