원작자: 테크 플로우 (Techflowpost) TechFlow
지난주 KelpDAO가 해킹당해 약 3억 달러가 도난당하면서 올해 들어 DeFi 업계에서 발생한 최대 규모의 보안 사고가 되었습니다.
도난당한 이더리움(ETH)은 현재 온체인 분산되어 있으며, 약 30,765 ETH가 온체인 한 주소에 남아 있는데, 이는 7천만 달러 이상의 가치가 있습니다.
나는 이 이야기가 끝난 줄 알았는데, 오늘 속편이 나왔다.
온체인 모니터링에 따르면, 온체인 해커의 주소에 있던 자금이 몇 시간 전에 이체되었는데, 이상하게도 거의 0으로 보이는 0x00000 주소로 이체되었습니다.
당시 모두가 추측했죠. 해커가 모든 돈을 블랙홀 주소에 넣고 태워버린 걸까? 아니면 마음을 바꿨거나 포섭된 걸까?
어느 것도 아니다.
몇 시간 전, 아르비트룸 공식 포럼에 상황을 설명하는 긴급 조치 공지가 게시되었습니다. 해커의 자금은 아르비트룸 보안 위원회를 통해 이체되었습니다.
놀랍게도, 해커의 주소와 개인 키를 알지 못한 채, 아르비트룸 위원회는 해커의 자금을 동결 하지도 않았고, 자금을 이체할 권한도 없었습니다. 오히려 위원회는 "해커의 이름으로" 직접 이체 지시를 내렸습니다.
해커는 해당 사건을 인지하지 못했고, 개인 키는 유출되지 않았으며, 온체인 기록은 해커 본인이 조작한 것으로 보입니다.
이 작업의 기본 원칙은 아비트럼과 이더 간의 모든 크로스체인 메시지가 인박스(Inbox)라는 브리지 계약을 거쳐야 한다는 것입니다. 안전위원회는 긴급 권한을 사용하여 이 계약을 일시적으로 업그레이드하고 새로운 기능을 추가했습니다.
크로스체인 거래는 어떤 지갑 주소로든 시작할 수 있지만, 해당 지갑의 개인 키는 필요하지 않습니다.
그들은 이 기능을 이용해 해커의 지갑을 발신자로 하는 "내 모든 ETH를 동결 주소로 전송하세요"라는 메시지를 위조했습니다. 아비트럼 체인은 이 메시지를 수신하고 평소처럼 요청을 실행했으며, 그 결과 위 온체인 전송 스크린샷에서 볼 수 있는 것과 같은 기이한 상황이 발생했습니다.
해커의 자금이 이체된 후, 해당 계약은 즉시 원래 버전으로 다운그레이드되었습니다. 업그레이드, 위조, 이체 및 복구는 모두 단일 이더 거래로 완료되었습니다. 다른 사용자 및 애플리케이션은 전혀 영향을 받지 않았습니다.
이번 작전은 아르비트룸 역사상 전례 없는 일이었습니다.
포럼 공지에 따르면, 보안위원회는 앞서 사법 당국과 협력하여 해커의 신원을 확인했으며, 그 결과 올해 디파이(DeFi) 분야에서 가장 활발하게 활동하는 국가 지원 해킹 그룹인 북한의 라자루스 그룹이 지목되었다고 합니다. 위원회는 조치를 취하기 전에 다른 사용자에게 영향을 미치지 않을지 기술적 평가를 실시했습니다.
해커들이 먼저 잘못을 저질렀으니, 이 전략은 마치 "우리가 미개하다고 비난하지 마세요"라고 말하는 것과 같습니다. 동결 ETH를 어떻게 처리할지는 아비트럼 DAO 운영위원회의 투표와 사법 당국과의 협의가 필요할 것입니다.
도난당한 7천만 위안 이상의 자금을 되찾았다는 것은 분명 좋은 소식입니다. 하지만 이를 위한 전제 조건에 주목할 필요가 있습니다. 안전보장이사회 12명 중 9명의 서명만 있으면 모든 거버넌스 투표를 우회할 수 있어 온체인 모든 핵심 계약을 지연 없이 업그레이드할 수 있습니다.
결과를 칭찬해야 할까요, 아니면 능력을 걱정해야 할까요?
현재 이 문제에 대한 지역 사회의 반응은 매우 엇갈리고 있습니다.
일부 사람들은 아비트럼이 중요한 순간에 자산을 보호하는 데 탁월한 역할을 했다고 생각했고, 이는 실제로 L2 보안에 대한 신뢰도를 높였습니다. 반면 다른 사람들은 매우 직설적인 질문을 던졌습니다. 만약 아홉 명이 누구의 이름으로든 어떤 자산에 대해서든 서명할 수 있다면, 그것이 과연 탈중앙화 라고 할 수 있을까요?
제 생각에는 양측이 실제로 같은 것을 이야기하고 있는 것이 아닙니다.
전자는 결과를, 후자는 기능을 설명합니다. 이번 사건의 결과는 분명히 긍정적입니다. 도난당한 7천만 달러 이상의 자금이 회수되었습니다. 그러나 아비트럼이 다중 서명을 통해 계약 기능을 수정할 수 있다는 사실은 그 자체로는 중립적입니다. 이번 사건에서 해커를 추적하는 데 사용될 수 있는지, 앞으로 어떤 용도로 사용될 수 있는지, 아예 사용될 수 없는지, 그리고 어떻게 사용될 수 있는지는 모두 궁극적으로 위원회의 거버넌스에 달려 있습니다.
하지만 대부분의 Arbitrum 사용자에게는 이 논의가 다른 사실만큼 실용적이지 않을 수 있습니다. Arbitrum만 그런 것은 아니며, 현재 거의 모든 주류 L2 시스템은 유사한 긴급 업그레이드 권한을 보유하고 있습니다.
사용 중인 블록체인 또한 유사한 기능을 가진 보안위원회를 갖추고 있을 가능성이 높습니다. 이는 아비트럼만의 독특한 선택이 아니며, 현재 거의 모든 L2 블록체인이 이러한 공통적인 설계를 따르고 있습니다.
다른 관점에서 보면, 이러한 공격과 방어의 움직임은 사실 훨씬 더 큰 그림을 드러냈습니다.
이번 공격의 배후에는 북한의 라자루스 그룹이 지목됐는데, 이들은 올해만 해도 최소 18건의 디파이(DeFi) 공격에 연루된 것으로 알려져 있습니다. 불과 3주 전에는 전혀 다른 수법을 이용해 드리프트 프로토콜(Drift Protocol)에서 2억 8500만 달러를 훔치기도 했습니다.
한편으로는 국가 차원의 해커들이 공격 방식을 끊임없이 업그레이드하고 있는 반면, L2 암호화폐들은 내재된 권한을 활용하여 반격에 나서고 있습니다. 디파이(DeFi) 보안 전쟁은 "사고 발생 후 자산 동결, 온체인 공지, 그리고 화이트햇 해커의 개입을 바라는" 단계를 넘어 새로운 국면으로 접어들고 있습니다.
위급한 상황에서 그들은 해커의 주소를 해제할 수 있는 마스터 키를 만들어 녹여버렸습니다. 이 사건만 보더라도 해킹 공격에 대처하는 그들의 능력은 결코 나쁘지 않습니다.
만약 이 문제를 "전혀 탈중앙화 않았다"는 철학적 논의로까지 상승 한다면, 할 말이 많습니다. 암호화폐 업계는 과거에 중앙 집중식 관행을 보여왔습니다. 적어도 이번에는 문제를 야기하는 것이 아니라 부정적인 사건에 대처하고 해결하려는 노력을 기울이고 있습니다.
현실적으로 보면, KelpDAO는 2억 9200만 달러의 손실을 입었고, 그중 7000만 달러 남짓, 즉 전체 손실액의 4분의 1에도 못 미치는 금액만 회수했습니다. 나머지 ETH는 다른 온체인 에 흩어져 있으며, Aave에 발생한 1억 달러 이상의 부실채권은 여전히 해결되지 않은 상태입니다. rsETH 보유자들이 얼마나 돌려받을 수 있을지는 아직 미지수입니다.
아르비트룸이 신의 권위를 이용했다 하더라도, 이 싸움은 아직 끝나지 않았다.
