웜홀 해킹 사례를 통해 바라본 크로스체인 구조의 문제점

user-image
김재원 (포뇨)
Research Team Lead/
Xangle
2022.02.04
pick

요약

  • 최근 브릿징 프로토콜 웜홀에서 약 3,900억 원 규모의 해킹 사례가 발생한 바 있음
  • 하나의 블록체인 내에서만 자금을 보유하고 있을 경우 상대적으로 안전하나, 브릿지를 이용하게 되면 자금 갈취 리스크가 비약적으로 상승하게 됨
  • 블록체인의 미래가 L1간 서로 브릿지로 연결된 크로스체인 생태계가 아닌 L1블록체인들이 서로 연결되어 있지 않고 각각의 생태계를 형성하여 따로 활동하는 멀티체인 구조로 가게 될 가능성이 높은 이유이기도 함

불과 하루 전, 브릿징 프로토콜 웜홀(wormhole)이 해킹 당해 무려 12만 개의 SOL-wETH (한화 기준 약 3,860억 원)가 담보 없이 발행되는 사고가 터졌다. 이는 역대 가상자산 해킹 사례 중 피해 규모 기준 네 번째로 큰 사고로 추정되며, 웜홀 팀의 발 빠른 수습으로 인해 다행히 지금은 모든 자금이 회수된 상태다. 한 편, 비탈릭 부테린은 크로스체인 솔루션은 보안이 상대적으로 취약하여 이 같은 사고가 언제든 발생할 수 있다고 경고한 바 있는데, 이번 글에서 웜홀 사태의 전말과 웜홀 사태를 통해 바라본 브릿지의 리스크 요소에 대해 설명하고 최종 settlement 레이어가 동일한 블록체인끼리만 연결된 멀티체인 구조(이더리움-L2, 코스모스 hub-zones, 아발란체-서브넷, 폴카닷-파라체인 등)가 상대적으로 어떤 장점을 갖는지 논하고자 한다.

웜홀 사태의 전말 

웜홀은 블록체인끼리 연결해주고 자산을 이동시켜 주는 브릿지다. 브릿지의 기본적인 작동 원리는 ‘A블록체인에서 자금 락업 후 B블록체인에서 민팅’이다. 즉, A블록체인에 있는 ETH를 담보로 묶어두고 B블록체인에서 동일 액수의 ETH를 발행하는 방식이라고 이해하면 쉽다. 해당 방식의 장점은 ETH (A블록체인 자산)를 담보로 잡아두기 때문에, 혹은 교환 비율을 항상 1:1로 유지하기 때문에 항상 wETH (B블록체인 자산)의 가치를 보장할 수 있다는 점이다. 그러나 전일 해커는 솔라나의 ‘post_vaa’ 컨트랙트 기능에 허점을 악용하여 고작 0.1ETH를 담보로 이더리움에서 무려 120k ETH를 발행하였다. wETH-ETH간 1:1 교환 비율이 깨져 그 피해를 고스란히 웜홀을 사용하는 기타 유저들이 입은 것이다. 웜홀 팀은 해당 사실을 발견한 즉시 해커에게 연락하였으며 다음날 사건을 무사히 수습하였다. 웜홀 측에서는 어떠한 방법으로 해결하였는지 아직 발표하지 않은 상태이다.

웜홀 사태를 통해 바라본 브릿지의 위험성

이처럼 DA레이어가 다른 블록체인끼리 연결된 크로스체인 생태계 구조는 웜홀과 같은 브릿지에 담보 자산이 묶여있어 구조적으로 자금 갈취의 리스크가 상당히 높다. 블록체인 노드들이 해당 블록체인에 저장되어 있는 블록 데이터가 아닌 브릿지 데이터를 읽기 때문이다. 나아가, 브릿지가 한 번이라도 해킹당하게 되면 A 블록체인 뿐만 아니라 A 블록체인과 연결된 B, C 블록체인 등 모든 블록체인에 극심한 피해가 발생할 수 있어 최악의 경우 도미노처럼 연결되어 있는 모든 블록체인내 토큰의 가치가 붕괴되는 위험에 처할 수가 있다.

51% 공격에도 멀티체인 생태계가 상대적으로 더 안전

51% 공격에도 L1블록체인들이 서로 연결되어 있지 않고 각각의 생태계를 형성하여 따로 활동하는 멀티체인 생태계(이더리움-L2, 코스모스 hub-zones, 아발란체-서브넷, 폴카닷-파라체인)가 크로스체인 생태계 대비 구조적으로 더 안전하다. 이더리움에서 51% 공격이 발생했다고 가정해보자. 대부분의 사람들은 51% 공격이 발생하면 모든 자금이 갈취당하고 이더리움은 그대로 끝을 맞이할 것이라고 간주한다. 물론 과거 이더리움 클래식 사태를 보면 알 수 있듯이 51% 공격이 발생하면 이중 지불(double spending) 공격 등의 문제로 프로토콜 자체는 매우 위험해질 수는 있으나, 적어도 개인 지갑에 들어 있는 유저들의 자금을 해킹하는 것은 사실상 불가능에 가깝다. 이더리움 노드를 돌리고 있는 나머지 참여자들이 해당 블록을 저지하고 프로토콜 규칙을 따르고 있는 포크 체인을 따라갈 것이기 때문이다.

그러나 브릿지를 통해 100ETH를 100 SOL-wETH로 교환한 와중에 이더리움이 51% 공격을 받게되면 상황은 급변한다. 이때 해커가 브릿지에서 이더리움에 예치해놓은 ETH를 SOL-wETH로 교환한다는 내용의 트랜젝션을 전송한 뒤 솔라나 측에서 승인하자마자 이더리움에서 해당 트랜젝션을 취소해버리면 담보 자산 (ETH) 없이도 SOL-wETH를 획득할 수 있다. 이렇게 될 경우 더 이상 ETH와 SOL-wETH의 교환비율이 1:1로 유지되지 않는 위험이 발생하여 당신의 SOL-wETH 자산 가치는 크게 하락하게 된다.

51% 공격은 성공하기 매우 어렵고 막대한 자본이 소모된다. 따라서 브릿지에 예치된 자산 규모가 작으면 공격당할 확률이 낮으나, 브릿지에 예치된 자산 규모가 커지면 커질수록 위험보상비율이 높아져 해킹 리스크 또한 동반 상승하기 마련이다.

마치며

작년을 기점으로 레이어1 블록체인은 물론 Hop, Connext, Wormhole, 그리고 Biconomy 등 수많은 브릿지 솔루션들이 생겨나면서 올해부터 크로스체인 생태계가 본격적으로 형성될 것이라는 의견이 힘을 받기 시작했다. 그러나 브릿지의 작동 원리상 DA레이어가 다른 블록체인끼리 연결된 세상은 너무나도 큰 위험 요소를 안고 있으며 자칫하면 단 한 번의 사고로 연결되어 있는 모든 블록체인내 토큰의 가치가 붕괴될 수가 있다. 이러한 이유로 블록체인의 미래는 L1블록체인들이 서로 연결되어 있지 않고 각각의 생태계를 형성하여 따로 활동하는 멀티체인 구조 중심으로 형성되는 것이 더 안전하다고 생각한다. 비탈릭이 크로스체인이 아닌 멀티체인 구조에 베팅하고 있는 이유이기도 하다.

 

Disclaimer
I confirm that I have read and understood the following: The information contained in this article is strictly the opinions of the author(s). This article was authored free from any form of coercion or undue influence. The content represents the author's own views and does not represent the official position or opinions of CrossAngle. This article is intended for informational purposes only and should not be construed as investment advice or solicitation. Unless otherwise specified, all users are solely responsible and liable for their own decisions about investments, investment strategies, or the use of products or services. Investment decisions should be made based on the user’s personal investment objectives, circumstances, and financial situation. Please consult a professional financial advisor for more information and guidance. Past returns or projections do not guarantee future results.
Xangle or its affiliated partners own all copyrights of the written or otherwise produced materials and content provided on the platform. Any illegal reproduction of such content, including, but not limited to, unauthorized editing, copying, reprinting, or redistribution will result in immediate legal actions without prior notice.