전 세계 가상화폐 시가총액 10위권에 들어가는 솔라나(SOL) 코인이 최근 해킹을 당해 수천억원대의 피해를 입은 것으로 드러났다. 전문가들은 가상화폐 거래의 구조적인 허점을 이용한 해킹이 최근 늘고 있다며 조심하라고 당부했다.
지난 3일 가상자산 업계에 따르면 솔라나 코인이 해킹당하며 증발한 금액은 약 70억원 정도다. 피해 범위를 솔라나 기반 토큰까지 확대할 경우 피해액은 7000억원 정도로 급증한다.
해킹 사실이 알려지자 업비트를 포함한 국내 주요 5개 거래소는 일제히 솔라나의 입·출금을 일시 중지했다. 업계에서 파악한 해킹 당한 지갑(계좌)의 수는 8000여개가 넘는다.
업계에서는 이번 해킹은 솔라나를 실제 운영하는 메인넷이 아닌, 모바일 앱이 사용하는 라이브러리(library)가 공격을 당한 것으로 추정했다.
라이브러리란 컴퓨터 프로그램에서 자주 사용되는 프로그램을 모아 놓은 것을 뜻한다. 피해 확산을 막기 위해 전문가들은 팬텀, 슬로프, 트러스트 월렛 등 모바일 지갑 사용자들에게 중앙화 거래소(CEX)로 자금을 옮기라고 조언했다.
가상자산 업계에서는 이번에 발생한 해킹이 솔라나와 모바일 앱을 연동하는 과정에서 생긴 취약점을 이용했다는 분석이 지배적이다. 솔라나는 지난 2월과 4월에도 관련 업체와 프로젝트 등이 해킹을 당한 바 있다.
이번 솔라나 해킹 외에도 전문가들은 가상화폐를 거래하는 방식인 ‘스마트 컨트랙트(Smart Contract)’가 해킹에 취약한 근본적인 문제가 있다고 지적해왔다.
스마트 컨트랙트란, 블록체인 기술을 기반으로 제3의 인증기관 없이도 개인 간 계약이 가능하도록 하는 기술이다. 일종의 디지털로 작성된 계약서다. 계약자가 기간, 금액 등 조건을 미리 설정해 두면 부동산 거래, 무역 거래 등 어떠한 종류의 계약도 자동 실행된다.
스마트 컨트랙트는 계약 당사자가 아니더라도 내용에 대해 검증이 가능하다는 장점과 계약 내용이 투명하게 공개돼 위변조가 어렵다는 장점을 지닌다. 따라서 해당 기술은 디파이(DeFi·탈중앙 금융)나 가상화폐 공개(Initial Coin Offering·ICO) 등에 적용됐다.
여러 장점에도 스마트 컨트랙트는 한계도 명확하다. 먼저 스마트 컨트랙트는 배포된 이후에 내용을 수정할 수 없다. 블록체인 외부에 있는 데이터를 가져와야 할 경우 오라클과 같은 특정한 기술을 활용해야 한다.
가상자산 전문 분석업체 쟁글은 이러한 한계점을 이용해 해킹과 탈취 사태가 발생한다고 지적했다. 오라클은 블록체인 외에 있는 담보 등 ‘오프체인(Off-chain)’ 데이터를 가져오기 위해 마련된 시스템을 뜻한다.
오라클을 이용해 공격한 경우로는 플래시론(Flash loan)이 대표적이다. 쉽게 설명하자면 블록체인의 블록 1개가 만들어지는 시간 안에 조작된 담보로 대출을 받고 상환하는 거래를 의미한다. 일반적으로 가상화폐를 빌릴 때, 보통 담보를 설정해야 한다는 점을 노린 것이다.
해커들은 담보 내용을 오라클 시스템을 통해 들여보낼 때 담보 가치를 조작한다. 가치 조작을 통해 해커들은 실제 담보보다 더 많은 대출을 받고 이를 바로 상환하여 그 차익만큼 이익을 볼 수 있다. 이러한 오라클 악용 사례를 ‘플래시론’이라고 부른다.
스마트 컨트랙트의 취약점을 이용한 해킹은 점점 늘어가는 추세다. 이번 솔라나 해킹 외에 지난 2일 ‘크로스체인 브리지 노마드’에 대한 공격이 발생해 1억9000만달러(2491억2800만원) 상당의 비트코인, 이더리움 등 가상자산이 해킹 당한 사건도 있었다. 크로스체인 브리지란 스마트 컨트랙트를 기반으로 서로 다른 블록체인을 연결해 자산 전송을 하는 플랫폼을 의미한다.
블록체인 전문 감사 업체 서틱(Certik)은 올해 가산자산 시장에서의 해킹과 탈취 사고가 전년 대비 214% 늘 것으로 전망했다.
이 같은 문제를 해결하기 위해서 전문가들은 스마트 컨트랙트를 향한 감사(audit) 강화 등이 이뤄져야 한다고 주장하고 있다. 또 버그나 해킹을 발견한 ‘화이트 해커’에게 포상금(버그 바운티)을 주거나, 해킹 시도를 탐지하는 감시 체계를 확대하는 방법 등도 도입을 검토해 볼만하다고 조언했다.
가상자산 투자정보 제공업체인 쟁글의 배현기 애널리스트는 “스마트 컨트랙트 인한 해킹을 100% 방지하기는 어렵지만 감사를 강화하고 포상금 지급을 도입하는 방식으로 피해 규모를 최소화할 수는 있을 것”이라고 진단했다.