지난 1월 이더리움 기반 프로토콜인 트루비트에서 2,600만 달러를 빼돌린 암호화폐 해커는 먼저 규모가 작은 목표물을 대상으로 연습했을 가능성이 높다고 블록체인 분석 업체 체이나리시스가 밝혔습니다.
수년간 공개되지 않은 계약
트루비트(Truebit) 공격은 체이나리시스(Chainalysis)가 최근 6개월간 발생한 네 건의 공격 사건 중 가장 규모가 큰 사건이었습니다. 트루비트, 트러스티드 볼륨스(Trusted Volumes), 애퍼처 파이낸스(Aperture Finance), 에쿠보(Ekubo)를 대상으로 한 이 공격들로 인해 총 약 3,700만 달러의 손실이 발생했으며, 모든 공격은 소스 코드가 블록체인 탐색기에서 공개적으로 검증되지 않은 스마트 계약에서 비롯된 것으로 밝혀졌습니다.
Truebit 스마트 계약은 2021년부터 이더리움 네트워크에 존재해 왔습니다. 이 계약은 자동 오버플로 방지 기능이 표준 이더리움(ETH) 되기 전에 출시된 솔리디티 v0.5.3 버전을 사용하여 컴파일되었습니다. 공격자는 본딩 커브 메커니즘에서 정수 오버플로 취약점을 발견하고 이를 이용해 최소한의 비용으로 대량의 토큰을 민트(Mint) 후 이더리움으로 변환했습니다.
폐쇄형 코드가 왜 공개적인 위험을 초래하는가
검증된 계약은 검토 과정을 거칩니다. 버그 바운티 헌터들이 이를 읽고, 독립 연구원들이 공격자보다 먼저 문제를 발견합니다. 하지만 검증되지 않은 계약은 이러한 검토를 전혀 받지 못하며, 많은 버그 바운티 프로그램에서 이를 지원 대상에서 명시적으로 제외합니다. 즉, 취약점이 수년간 방치되는 동안 수백만 달러가 해당 코드에 흘러들어갈 수 있다는 뜻입니다.
Chainalysis에 따르면 공격자들이 바로 그 허점을 악용하고 있습니다. 해킹당한 네 개의 컨트랙트 모두 공개적으로 이용 가능한 소스 코드가 없었습니다. 공격자들은 대신 디컴파일된 바이트코드를 기반으로 작업했으며, Dedaub, Heimdall, Panoramix와 같은 도구를 사용하여 온체인 코드를 읽기 쉬운 출력으로 변환했습니다.
일단 역컴파일된 코드는 인공지능 시스템에 입력하여 인간 검토자가 따라잡을 수 없는 규모로 재진입 결함, 계산 오류 및 접근 제어 취약점을 찾아낼 수 있습니다.
3,670만 달러라는 수치는 같은 기간 동안 발생한 전체 DeFi 손실액의 극히 일부에 불과합니다. 체이나리시스는 6개월간 발생한 전체 손실액을 10억 달러 이상으로 추산하고 있습니다. 하지만 체이나리시스는 자동화 분석 도구가 더욱 저렴하고 사용하기 쉬워짐에 따라 검증되지 않은 계약 문제가 더욱 심각해질 수 있다고 주장합니다. 이러한 도구들을 통해 공격자들은 수많은 비활성 계약을 스캔하고 악용 가능성에 따라 순위를 매길 수 있게 된다는 것입니다.
취약점은 다양했지만, 패턴은 동일했습니다.
네 건의 사건에서 발견된 구체적인 버그는 서로 달랐습니다. 보고서에 따르면 취약점은 정수 오버플로, 접근 제어 실패, 입력 유효성 검사 오류, 신원 확인 결함 등 다양했습니다.
그들이 공통적으로 가지고 있던 것은 동일한 보호 허점이었다. 공개된 소스 코드가 없고, 외부 검토도 없으며, 자금이 사라지기 전에 비정상적인 활동을 감지할 수 있는 실시간 모니터링 시스템도 없었다.
Chainalysis는 프로토콜이 사용자 자산을 보유하는 모든 계약에 대해 소스 코드 검증을 기본 요구 사항으로 간주해야 한다고 권고합니다.
또한 해당 업체는 감사 및 버그 바운티 적용 범위가 프록시 구조 뒤에 숨겨진 구현 계약까지 확대되어야 한다고 주장합니다. 이러한 구성 요소는 표면적인 계약이 검증되더라도 종종 검토되지 않는 경우가 많습니다.
주요 이미지는 CybersecAsia에서 , 차트는 TradingView에서 가져왔습니다.
