비트코인 뉴스

INSIGHTS

작성일 22.03.07

웜홀 (Wormhole) 해킹의 진실, 솔라나와 이더리움 보안성 문제?

페이지 정보

본문

이 글은 Chainalysis의 ‘Lessons from the Wormhole Exploit: Smart Contract Vulnerabilities introduce Risk; Blockchains Transparency Makes It Hard for Bad Actors to Cash Out’ 을 참고 하였다.



7235bbfcbcf95121a4b3cc8a7e9cc052_1646626117_5506.jpg

 

2022년 2월 2일 솔라나 및 이더리움의 크로스 체인 (Cross-Chain) 프로토콜인 웜홀 (Wormhole) 에서 120,000 이더리움 약 3억 2400만달러 가량의 자금이 해킹당했다. 웜홀은 이더리움과 솔라나 블록체인간 암호화폐 및 NFT 거래를 가능하게 해주는 크로스 체인 브릿지인데 이번 사건은 웜홀 프로토콜에서 담보없이 WeEth (Wormhole Eth의 약자로 웜홀에서 발행하는 이더리움을 뜻한다)를 민팅 (Minting) 하여 솔라나 블록체인으로 전송한 사건이다.



이는 Defi 역사상 2번째로 가장 큰 해킹 사건이고, Defi의 특정 스마트 컨트렉트의 버그로 인한 해킹으로 이전 해킹 사건과는 매우 다르다. 또한 위험정도도 기존 블록체인 해킹보다 훨씬 더 심각하다. 이유는 아래에서 설명하도록 하겠다.




크로스 체인의 해킹, 웜홀의 사건 전개



일단 이번 사건의 키 포인트를 파악하려면, 크로스 체인 브릿지가 어떻게 작동되는지 알아야한다. 크로스 체인 브릿지는 한 블록체인의 가상 화폐를 다른 블록체인에 전송하여, 전송한 블록체인 내에서 거래를 할수 있게끔 해주는 프로토콜이다. 예로 한 유저가 이더리움 블록체인에서 거래를 하고 있는데, 이더리움 블록체인의 Transaction Speed (거래 체결 속도)가 느려서 자금을 솔라나 블록체인으로 이동하려는 상황을 가정하자. 이 경우 유저는 이더리움 블록체인에서 거래하고 있는 자신의 이더리움을 솔라나 블록체인과 연결해주는 크로스 체인 브릿지 프로토콜에 전송하게 된다. 전송된 이더리움은 해당 크로스 체인 스마트 컨트렉트에 의해 잠기고 동시에 유저는 전송한 이더리움만큼 웜홀일 경우 WeEth를 솔라나 블록체인에서 발행 받는다. 다른 말로 웜홀 프로토콜에 전송된 이더리움은 담보이며 담보없이 WeEth 민팅은 프로그램상 불가능하다.




하지만 웜홀 사건일 경우 해커가 해당 프로토콜의 Guardian (담보를 측정하는 검증 시스템) 을 통과 하여 담보없이 WeEth를 민팅 (발행) 을 한 것이다. 결과적으로 솔라나에서 발행된 120,000의 이더리움은 담보 없이 솔라나 블록체인에 존재하였고, 이에 따라 WeEth의 거래가 가능한 솔라나 기반 프로토콜 또한 지급 불능 상태에 빠졌었다.



상황은 Jump Trading (암호화폐 트레이딩 회사) 이 해킹 당한 금액을 웜홀에게 지급 하면서 종료되었다. 해킹당한 WeEth는 솔라나 지갑에 아직까지 존재하며 블록체인 특성상 감시를 피해서 현금화를 시킬수 없을 것이다.




새로운 Defi 위험



많은 Layer One 블록체인들이 출현한 상태에서 블록체인들을 연결해주는 크로스 체인의 비중이 크립토 업계에서 지속적으로 증가하고 있다. 웜홀과 같은 크로스 체인 해킹은 연결된 모든 블록체인을 지급불능 상태로 만들 수 있어 매우 위험적이다. 결과적으로 웜홀 해킹사건은 솔라나와 이더리움의 직접적인 보안성 문제로 부터 파생되지는 않았지만 크로스 체인의 발전에 따라 솔라나와 이더리움과 같은 Layer One 블록체인들이 감당해야하는 위험이다. 스마트 컨트랙트 개발자들 또한 다각화되가는 해킹 시나리오를 예상해서 프로토콜을 만들어야 할 것이다.