크로스 체인 브리지 프로토콜이 해커들의 주요 공격 대상이 되고 있습니다. 크로스커브(CrossCurve)는 일요일 저녁 자사 X 플랫폼을 통해 긴급 공지를 발표하고, 스마트 계약이 공격을 받아 여러 블록체인 네트워크에 걸쳐 약 3백만 달러가 도난당했다고 밝혔습니다. 크로스커브는 모든 사용자에게 크로스커브와의 모든 상호 작용을 즉시 중단할 것을 요청했으며, 전면적인 조사를 진행하고 있습니다.
공격 방법: 게이트웨이 검증을 우회하기 위해 크로스체인 메시지를 위조함
데큐리티 산하 블록체인 보안 회사인 데피몬 얼러츠의 분석에 따르면, 이번 공격의 핵심 기술은 크로스커브 리시버 액셀러(CrossCurve ReceiverAxelar) 컨트랙트의 취약점을 악용하는 것이었습니다. 공격자들은 크로스체인 메시지를 위조하여 expressExecute 함수를 호출함으로써 액셀러 게이트웨이의 검증 메커니즘을 우회하고, 포털V2(PortalV2) 컨트랙트의 잠금 해제 작업을 직접 실행했습니다.
요컨대, 공격자는 실제로 크로스체인 전송을 완료할 필요 없이 위조된 메시지를 사용하여 계약이 정상적인 크로스체인 요청을 받았다고 믿도록 속여 잠긴 자금을 해제할 수 있습니다. 이는 크로스체인 브리지 아키텍처의 메시지 검증 단계에서 발생하는 전형적인 보안 결함입니다. 게이트 검증이 우회되면 전체 자금 보안 시스템이 사실상 무력화됩니다.
CEO는 72시간 시한부 최후통첩을 내렸다.
CrossCurve의 CEO인 보리스 포바르는 사건 발생 직후 신속하게 대응하여 도난당한 토큰을 받은 지갑 주소 10곳의 이름을 공개하고 공격자들에게 분명한 메시지를 전달했습니다. 즉, 72시간 이내에 자금을 반환하면 버그 현상금으로 10%를 지급하겠다는 것입니다.
포바르는 다음을 의미합니다:
"이 토큰들은 스마트 계약의 취약점 때문에 사용자들로부터 불법적으로 탈취된 것입니다."
그는 또한 지정된 기간 내에 자금이 반환되지 않을 경우, 크로스커브는 해당 사안을 법적 문제로 간주하여 법적 절차를 개시하고 자산을 동결 수사 당국에 전적으로 협조할 것이라고 경고했습니다.
Curve Finance는 사용자들에게 투표권을 철회하라는 경고를 발표했습니다.
파트너사인 Curve Finance 또한 즉시 사용자들에게 경고하며 CrossCurve의 유동성 풀에 대한 투표권을 철회하는 것을 검토해 볼 것을 권고했습니다. 이는 이번 사태의 영향이 CrossCurve 자체에만 국한되지 않고, CrossCurve와 통합된 전체 DeFi 생태계가 리스크 재평가해야 할 필요성을 시사합니다.
크로스체인 브리지 보안: DeFi의 아킬레스건
크로스체인 브리지는 디파이(DeFi) 생태계에서 가장 취약한 인프라 중 하나로 꾸준히 지적되어 왔습니다. 2022년 웜홀(Wormhole)에서 발생한 3억 2천만 달러 규모의 도난 사건과 로닌 브리지(Ronin Bridge) 해킹으로 인한 6억 2천 5백만 달러 규모의 손실, 그리고 최근의 크로스커브(CrossCurve) 사태에 이르기까지, 크로스체인 브리지의 보안 문제는 여전히 해결되지 않은 채 남아 있습니다.
핵심적인 이유는 크로스체인 브리지가 서로 다른 블록체인 간에 메시지를 전송하고 검증해야 하는데, 이 과정이 단일체인 애플리케이션보다 훨씬 공격에 취약하기 때문입니다. 이번 크로스커브(CrossCurve) 사태는 사용자들에게 다음과 같은 점을 다시 한번 상기시켜 줍니다. 크로스체인 서비스를 사용하기 전에 항상 프로토콜의 보안 감사 기록을 확인하고, 크로스체인 브리지 컨트랙트에 거액의 자금을 장기간 보관하지 않도록 주의해야 합니다.
