"약한 연결고리 파고든 해킹... 3천900억원 피해 추정"

입력 2022-02-03 16:12
블록체인 연결서비스 '웜홀' 해킹


가상화폐 기반 시스템인 블록체인끼리 연결하는 서비스의 일종인 '웜홀'이 해킹돼 최소 약 3천900억원 상당 가상화폐가 털렸다고 미 경제매체 CNBC가 2일(현지시간) 보도했다.

웜홀 측은 트위터를 통해 이날 해킹이 있었다면서 점검·보수 작업을 위해 네트워크가 일시 다운된다고 밝혔다.

블록체인 보안 감사 전문 기업 '서틱'(certik)에 따르면 이번 웜홀 해킹으로 최소 2억5천100만달러(약 3천27억원) 상당 이더리움과 4천700만달러(약 567억원) 상당 솔라나, 400만달러(약 48억원) 상당 USD코인(USDC) 등 총 3억2천만달러(약 3천858억원) 상당 가상자산이 탈취된 것으로 파악된다.

대개 가상화폐 보유자들은 단 한 종류의 화폐만 가지고 있지 않는데, 이런 이용자 특성에 착안해 특정 가상화폐 블록체인에서 다른 블록체인으로 자산을 옮길 수 있는 '크로스체인 브릿지'라는 서비스가 개발됐다.

웜홀은 이 중에서도 이더리움과 솔라나 등의 블록체인 상 가상자산 거래를 가능하게 해주는 서비스다.

이번 해킹은 이 웜홀 서비스 중 솔라나 블록체인과 연결된 지점의 취약점을 노린 것이다.

서틱 측 분석에 따르면 해킹을 시도한 세력은 웜홀 내 취약점을 악용해 솔라나 블록체인에서 쓰이도록 변환된 이더리움 12만개를 자체 발행했다.

해커 측은 이후 다시 웜홀 서비스를 경유해 이를 이더리움 블록체인 상의 진짜 이더리움 화폐와 거래하는 방식으로 자산을 탈취한 것으로 추정된다고 CNBC는 전했다.

서틱의 공동창업자 구룽후이는 "이번 웜홀 해킹은 블록체인들끼리 교류 방식(프로토콜)을 겨냥한 공격이 늘고 있다는 사실을 보여준다"라고 진단했다.

웜홀을 겨냥한 이번 해킹은 탈중앙화 금융(디파이·Defi) 분야에서 손실 규모 기준으로 역대 두 번째다.

지난해 8월 가상화폐 플랫폼 폴리 네트워크에서 약 6억달러(약 7천억원)가 탈취된 데 이은 기록이다.

블록체인이란 일종의 디지털 거래 장부로, 거래 내역을 저장한 블록들을 체인(사슬)처럼 연결한 뒤 이를 수많은 컴퓨터에 복제해 저장하는 분산형 데이터 저장 기술이다.

거래 장부가 공개돼 다수의 참여자가 거래를 확인하고 대조할 수 있어 위·변조가 어려운데, 이런 블록체인 시스템을 통해 송금·결제 등 거래를 검증받는 방식으로 탄생한 디지털 통화가 가상화폐다.

(사진=연합뉴스)