출처: 토큰포스트
월요일은 악명 높은 ‘DAO 공격’ 8주년이었으며, 이는 암호화 산업에서 첫 번째 해킹은 아니지만 아마도 가장 중요한 해킹일 것이다. 이 사건은 산업의 규제 해석의 기초를 마련했으며(미국 증권거래위원회의 ‘DAO 보고서’를 통해), 하드 포크를 통해 이더리움(이더리움) 커뮤니티의 자치 방식을 변화시켰다.
19일(현지시간) 더 블록에 따르면, “이것은 이더리움의 결정적인 순간이었다”라고 메타렉스 프로토콜(MetaLeX Protocol)의 창립자인 가브리엘 샤피로(Gabriel Shapiro)는 더 블록(The Block)과의 인터뷰에서 말했다. “다른 체인들은 비슷한 시험을 받지 않았거나, 시험을 받았을 때 커뮤니티를 단합시키는 방식으로 대응하지 못하고 오히려 분열을 초래했다.”
간단히 말해, 2016년 6월 17일의 DAO 공격은 이더리움의 ‘사회적 층’을 확립하는 데 도움이 되었다. 이더리움 공동 창립자인 비탈릭 부테린(Vitalik Buterin)이 네트워크의 우선순위를 유지하고 정의하는 네트워크 참여자들의 집단이라고 정의한 것이다. 이는 약 4백만 개의 도난당한 이더(ETH), 당시 약 5천만 달러 상당을 회수하기 위해 블록체인을 하드 포크(이전 버전과 호환되지 않는 필수 업데이트) 하기로 한 결정에서 볼 수 있다.
공격의 경위
DAO, 즉 최초의 탈중앙화 자율 조직은 독일 스마트 계약 스타트업 슬록잇(Slock.it) 팀에 의해 암호화 스타트업에 투자하는 새로운 방식으로 구상되고 설립되었다.
DAO는 1억 5천만 달러 이상의 이더를 모금했으며, 50개 이상의 프로젝트가 이 스마트 계약에 의해 통제되는 분산형 투자 기구로부터 자금을 받을 것으로 예상되었다. 이 프로젝트에 투자할 수 있는 28일 기간이 끝날 때쯤 DAO는 유통 중인 모든 이더의 약 15%를 통제하고 있었다. 공격 자체는 이더 가격을 20달러에서 13달러로 급락시키고 냉소주의의 물결을 불러일으켰다.
DAO는 실패하기 전까지 이더리움의 최고 이상이 실행 가능한 프로젝트로 인코딩될 수 있음을 나타내며 혁신의 물결을 예고했다.
아이러니하게도 DAO를 궁극적으로 무너뜨린 취약점은 잘 알려져 있었고 수정될 예정이었다. 독립적으로 코드를 감사한 여러 개발자는 스마트 계약에서 자금을 빼낼 수 있는 ‘재귀 호출’ 문제를 발견했다. 공격이 일어나기 3일 전인 6월 14일, 잠재적인 수정안이 제안되었으나 개발자들은 이를 제때 구현하지 못했다.
6월 18일까지 저자 로라 신(Laura Shin)에 의해 텐엑스(TenX) 전 CEO 토비 호니쉬(Toby Hoenisch)로 지목된 공격자는 프로젝트의 재무금고의 약 3분의 1을 자신이 통제하는 계정으로 빼돌렸다. 이틀 동안의 공격 동안 이더리움 커뮤니티는 피해를 줄이고 공격을 중단시킬 방법을 고민했다.
이념적 전투
공격 당일, 비탈릭 부테린은 두려움을 해소하기 위한 잠재적인 해결책을 제안했다. 일회성 이벤트에 대한 일회성 해결책으로 볼 수 있는 부테린은 공격자가 자신의 자금에 접근하지 못하도록 하는 동시에 블록체인의 역사를 유지하는 ‘소프트 포크’ 업데이트를 제안했다.
반면, 슬록잇의 스테판 툴(Stephan Tual) 같은 사람들은 모든 도난 자금을 회수하기 위해 이더리움 체인을 하드 포크하길 원했다.
공격자는 공개 서한에서 공격 자체가 유효하다고 주장하며, 그는 단지 작성된 대로 코드를 사용했을 뿐이라고 주장했다. 체인을 롤백하거나 그의 자금을 동결하려는 시도는 그의 재산에 대한 ‘도둑질’이자 프로토콜 규칙의 ‘변경’이라고 썼다.
어느 정도는 이더리움을 소프트 포크하거나 하드 포크하자는 제안 모두 블록체인의 불변성을 도전하지만, 서로 다른 이해관계를 나타냈다. 부테린의 계획은 본질적으로 프로토콜을 사용자보다 우선시한 반면, 하드 포크는 새로운 네트워크의 초기 채택자들을 완전히 복구하려는 시도였다.
즉, 탈중앙화 앱이 커뮤니티의 창립 이념을 희생하면서 구제되어야 하는지에 대한 심각한 의문이 제기되었다. 그러나 이더리움이 아직 자리를 잡고 있는 상황에서 이 정도의 공격이 프로젝트를 탈선시킬 수 있다는 실용적인 주장이 있기도 했다.
결국, 2016년 7월 20일, 하드 포크 제안이 ETH 보유자들에게 제시되었고 85%의 찬성으로 통과되었다. 이더리움은 DAO 공격 이전의 상태로 되돌아가기로 했다. 이는 처음으로 이런 상황이 발생한 것이며 코드가 블록체인 네트워크의 거버넌스를 결정해야 한다는 아이디어에 대한 도전이었다.
“DAO 해킹은 블록체인의 불변성에 대한 억압된 진실을 드러내기 때문에 중요하다. 극단적인 상황에서는 사회적 층이 충분히 강한 합의가 있으면 궁극적으로 기술적 층을 뒤집을 수 있다”라고 더블린 대학교 강사 폴 딜런-에니스(Paul Dylan-Ennis)는 더 블록에 말했다.
제너러티브 벤처스(Generative Ventures) 파트너이자 컨센시스(Consensys) 전 수석 경제학자인 렉스 소콜린(Lex Sokolin)은 이 점을 반영하여, DAO 공격에 대한 대응이 “기술은 여전히 커뮤니티에 의해 사용되는 도구”이며 “사용자의 요구와 집단적 동의에 따라 결정된다”는 점을 강조했다고 말했다.
법적 및 규제적 결과
최초의 운영 사례로서 DAO는 최선의 경우 회색 지대에서 운영되고 있었다. 공격 이후 상황이 완전히 바뀌었다. 이더리움 하드 포크가 이루어진 지 약 1년 후, 미국 증권거래위원회(SEC)는 DAO의 크라우드 세일이 증권법을 위반했다고 확인하는 보고서를 발표했다.
당시 SEC는 강제 조치를 취하지 않았지만, 이 보고서는 초기 코인 제공(ICO) 및 토큰 발행에 대한 SEC의 해석의 기초가 되었다. SEC 커미셔너 헤스터 피어스(Hester Peirce)는 당시 DAO 보고서의 분석이 특정 크립토 법안 통과 가능성을 약 10년 후퇴시켰다고 말했다.
“제 인상은 DAO 공격이 [SEC 의장 게리] 겐슬러(Gary Gensler)가 크립토 규제가 필요하다고 믿게 만드는 데 매우 중요한 역할을 했다는 것이다”라고 켄터키 대학교 법학 교수 브라이언 프라이(Brian Frye)는 더 블록에 말했다.
여전히 울려 퍼지는 영향
소콜린은 커뮤니티가 블록체인 생태계가 어떻게 발전할지 결정하는 것이 합리적이라고 언급하면서, “커뮤니티가 없는 제품은 죽은 것이다”라고 말했다. 산업의 핵심 원칙은 ‘무허가성(permissionlessness)’ 즉, 누구나 시스템에 접근하거나 포크할 수 있는 능력이다. 궁극적으로 성공하는 프로젝트는 채택되는 프로젝트이다.
“이것의 또 다른 진화는 초기 디파이(DeFi) 시절 유니스왑(Uniswap)과 스시스왑(SushiSwap)의 뱀파이어 공격 시도이다. 도덕적 항의가 아닌 경제적 항의로 프로토콜을 포크할 수 있는 능력이 반복 가능한 전략으로 변했다”라고 소콜린은 덧붙였다. 스시는 커뮤니티를 강화하는 거버넌스 토큰을 장착한 유니스왑의 대체 버전으로 시작되었다고 언급했다.
마찬가지로, 조크레이스(JokeRace) 창립자 데이비드 펠프스(David Phelps)는 DAO 공격에 대한 대응이 크립토에서 코드가 항상 법이 아니라는 점을 확립하는 데 도움을 주었다고 말했다. 그는 데이터 가용성 블록체인 셀레스티아(Celestia)의 ‘사회적 합의’에 대한 초점과, 커뮤니티가 플랫폼의 발전 방향을 결정할 수 있게 하는 방법으로 인식 주관성(inter-subjectivity) 시스템을 언급했다.
그러나 모든 사람이 현재의 상황에 만족하는 것은 아니다. 영구적인 크립토 트위터의 가드플라이(Gwart)는 커뮤니티의 의견이 어디에 있는지를 이해하는 유일한 방법은 그들이 어디에 투자하는지를 보는 것이라고 주장했다. “많은 사람들이 사회적 층의 전체 전제에 정말로 동의하지 않는다”고 말했다. “그것이 객관적으로 존재하더라도.”
이더리움이 궁극적으로 코드에 의해 통치되어야 하는지 커뮤니티에 의해 통치되어야 하는지는 분명히 논쟁의 여지가 있다. 어느 쪽이든, DAO 공격은 이 질문을 제기했다.