출처: 블록체인투데이
[블록체인투데이 디지털뉴스팀] 최근 위믹스 재단이 90억 원 규모 암호화폐 탈취 피해를 보면서 ‘크로스체인 브릿지’의 보안 중요성이 커졌다고 뉴스1이 보도했다.
‘크로스체인 브릿지’는 서로 다른 블록체인 플랫폼 간 자산 이동을 돕는 환전소 개념이다. 대규모 자금이 거래 중간에 묶여 지속적으로 공격에 시달릴 가능성이 높다. 블록체인 데이터 분석업체 체이널리시스에 따르면 2022년 전체 암호화폐 피해액의 70%는 브릿지 공격에서 발생하기도 했다.
18일 위메이드에 따르면 위믹스 해킹은 ‘플레이 브릿지 볼트’의 프라이빗키 서명 권한이 탈취되면서 발생했다.
공격자는 탈취한 키로 비정상적인 트랜잭션을 생성, 865만 4860개의 위믹스 코인을 탈취했다. 플레이 브릿지 볼트에는 다른 블록체인 네트워크로 전송되는 자금이 지나간다.
사측은 2023년 한 개발자가 공용 저장소에 올린 자료가 유출돼 키 탈취로 이어졌을 거라고 분석했다. 경찰 포렌식 결과를 봐선 내부자 소행보단 전문 해커 공격일 가능성이 크다고 덧붙였다.
프라이빗 키 탈취로 브릿지 검증을 속였단 점에서 2022년 ‘로닌’ 사태와 비교된다. 베트남 기업 스카이마비스가 개발한 게임 ‘엑시 인피니티’에는 로닌이란 블록체인 플랫폼이 활용됐다. 여기 자산을 이더리움으로 이동시키는 로닌 브릿지가 해킹을 당하면서 8170억 원 상당 피해가 발생했다.
위메이드나 로닌은 보안 측면에서 ‘중앙화 브릿지’를 쓴 것으로 알려졌다. 서버 관리주체 등 제삼자가 거래를 검증하고 키 등 브릿지 내 자산을 관리하는 형태다.
이런 중앙화 방식은 한 번의 침해 사고가 치명적이다. 관리 주체를 공격해 다량의 키를 한 번에 탈취하면, 거래에 필요한 검증도 쉽게 통과할 수 있다.
보안업계 관계자는 “로닌의 경우 한 번의 해킹으로 9개의 변수(밸리데이트) 키 중 4개가 탈취됐다. 나머지 한 개 키도 파트너사가 서면으로 요청하면 받을 수 있었다”며 “탈중앙화 브릿지라고 보안 측면에서 완벽한 건 아니지만, 중앙화 방식은 공격 비용이 비교적 낮은 게 사실”이라고 설명했다.
다중 서명(멀티시그) 참여자를 늘리는 등 검증 절차를 엄격하게 하는 게 현재로서 중앙화 약점을 보완하는 방법이다. 위메이드의 경우 의심 거래 발생 시 추가 승인 절차를 도입할 거라고 대책을 내놨다.
위메이드 등이 목표로 하는 탈중앙화 시스템이 구현된다면 지금보다 보안성은 높아질 수 있다. 탈중앙화 브릿지는 제삼자가 아닌 스마트 콘트랙트 및 알고리즘으로 자산을 보관한다.
하지만 이 역시 약점은 존재한다. 스마트 콘트랙트 알고리즘에 쓰인 코드 자체가 취약성이 있다면 이를 악용한 해킹이 가능하다.
이 관계자는 “공평한 접근이 중요한 탈중앙화 특성상 알고리즘 코드는 공개된 오픈소스인 경우가 많다. 공격자가 취약점을 쉽게 파악할 수 있다”며 “소프트웨어 자원 명세를 파악하는 ‘SBOM'(Software Bill of Materials) 기반 보안 정책, 이해관계자 간 상호 코드 검증 등이 필요하다”고 말했다.