수백만 자산의 행방이 묘연해지며, 멀티체인(Multichain)이 자금 관리 부실 의혹에 휩싸였다

2022.10.27

수백만 자산의 행방이 묘연해지며, 멀티체인(Multichain)이 자금 관리 부실 의혹에 휩싸였다

브릿지 플랫폼이 고객 계정 자금을 운용하는 방식이 감사를 받고 있다.

2022.10.27 - 09:18:25

Multichain

Web3 심층 보도에 집중하고 흐름을 통찰

브릿지 플랫폼이 고객 계정 자금을 운용하는 방식이 감사를 받고 있다.

수백만 달러 상당의 자산 행방불명, Multichain 자금 관리 부실 의혹

작성자:알렉산더 길버트

분석 기관 L2 Beat에 따르면, 총 10억 달러의 자산이 예치된 크로스체인 브릿지 플랫폼인 Multichain이 약 8천만 달러 상당의 스테이블코인과 비트코인 300개를 이동시켰으며, 이러한 이상 징후가 조사 대상이 되고 있다.

L2 Beat는 Multichain이 사용자 자금을 보관 중인 곳에서 수백만 달러를 옮겨 자사 네트워크 내 다른 위치에 유동성을 공급했다고 밝히며, 이 같은 자금 이동의 목적에 대해 공론화하는 목소리가 나오고 있다고 전했다. 이와 관련한 언론 보도나 L2의 검토 내용은 이전까지 알려진 바 없다.

사회적 계약

L2 Beat 연구원 바르텍 키엡셰프스키(Bartek Kiepuszewski)는 더 디파이언트(The Defiant)와의 인터뷰에서 "이는 사용자의 돈이므로, Multichain의 자금 이동이 해당 체인 사용자들과 사전 합의된 것인지, 아니면 사용자와의 사회적 계약을 위반한 것인지 명확해야 한다"고 말했다.

올해 해킹으로 인한 대부분의 암호화폐 손실 사건은 크로스체인 브릿지에서 발생했으며, 크로스체인 브릿지는 사용자가 서로 다른 블록체인 간에 디지털 자산을 이동할 수 있도록 지원하는 기술이다.

그 이유는 명확하다. 크로스체인 브릿지는 기술적으로 복잡하여 공격자들이 노출될 수 있는 경로가 많다. 또한 단일 실패 지점을 제공한다. 즉, 스마트 계약을 통해 사용자 자금이 관리되는 형태로 예치되며, 실제로 이동되는 자산은 본질적으로 차용증(promise note)처럼 목표 체인에서 발행된다.

미스터리

따라서 L2 Beat 연구진이 Multichain 내부를 심층 분석한 결과 외부보다 내부에서 더 큰 위협이 발견되자 놀라움을 금치 못했다.

바르텍 키엡셰프스키는 "이것은 사용자의 돈이기 때문에, Multichain의 자금 이동이 해당 체인 사용자들과 사전 합의된 것인지, 아니면 사회적 계약을 위반한 것인지 판단해야 한다"고 다시 강조했다.

키엡셰프스키에 따르면, 체인 상에서 자산이 예치 장소에서 이동된 것은 확인 가능하지만, 그 이후 자산의 최종 행선지는 여전히 불분명하다.

L2 Beat는 Multichain 측이 해당 자산들을 자사 네트워크의 다른 곳에서 유동성을 제공하는 데 사용했다고 주장하고 있지만, 이 주장이 사실인지 확인하기는 어렵다고 지적했다.

암호화 보안 기업 Open Zeppelin의 솔루션 책임자 마이클 루엘렌(Michael Lewellen)은 이러한 관행에 문제가 있음을 인정했다.

루엘렌은 더 디파이언트에 "브릿지가 주장하는 자산이 실제로 어디엔가 공개적으로 검증 가능한 위치에 존재한다는 것을 입증할 방법이 명확하지 않다면, 우리는 특히 주목해야 한다"고 말했다.

L2의 이러한 지적이 사용자 자금 10억 달러 이상을 보관하는 조직의 운영 및 보안 관행에 대한 의문을 제기하고 있다. Multichain은 수십 개의 블록체인을 연결하며 수천 가지 자산의 크로스체인 이동을 지원한다. 따라서 Multichain이 여전히 해당 암호화폐를 보유하고 있으며, DeFi 프로토콜에서 도난당하거나 도박에 사용되지 않았는지를 확인하는 작업은 매우 어려운 일이다.

새로운 의문

게다가 이번 논란은 올해 여러 차례 해킹 피해를 입은 크로스체인 브릿지 기술에 대한 대중의 신뢰를 더욱 훼손할 수 있다.

Rekt의 악용 사례 순위표에 따르면, 올해 발생한 해킹 사건 중 암호화 역사상 가장 큰 손실을 기록한 상위 5건 중 3건이 모두 크로스체인 브릿지 해킹이다. Ronin Network에서는 6억 달러 이상이 탈취되었고, Binance 브릿지에서도 거의 6억 달러가 유출됐으며, Wormhole 브릿지에서는 3억 달러 이상이 도난당했다.

Multichain은 웹사이트에 게재된 이메일 주소를 통해 제출된 여러 차례의 인터뷰 요청에 응답하지 않았다.

보안 가정

이 섹션은 L2가 블록체인 확장 공간을 검토하는 과정에서 수행하는 역할을 강조한다. 대출 프로토콜 Maker가 Optimism과 Arbitrum 같은 레이어 2(L2) 블록체인으로의 확장을 고려할 때, 이들 블록체인이 어떻게 작동하는지에 대한 이해가 필요했다.

결국 이 프로젝트는 Maker로부터 독립되어 L2 Beat라는 이름으로 발전하게 되었으며, 다수의 L2 블록체인과 예치된 자금 규모, 그리고 각각의 보안 가정을 정리한 웹사이트가 되었다.

이번 달, L2 Beat는 브릿지 프로토콜 패널을 출시하며 서비스를 확장했다. 세계 2위 규모의 크로스체인 브릿지 프로토콜인 Multichain 옆에는 감탄부호가 붙은 노란색 방패 아이콘을 추가하여, Multichain이 부적절한 행동을 했다는 의심을 경고했다.

키엡셰프스키는 "모든 크로스체인 브릿지는 기본적으로 유사한 방식으로 작동한다. 사용자는 자산을 특정 주소로 보내면, 검증자가 목표 체인에서 '새로운' 자산을 발행한다. 사용자가 자산을 원래 체인으로 돌려받고자 할 경우 반대 방향의 절차를 거쳐야 하며, 즉 목표 체인에서 자산을 소각하면, 검증자는 사용자가 처음 자산을 보낸 예치 주소에서 동일한 양의 자산을 해제해야 한다"고 설명했다.

유동성 네트워크

목표 체인에서 새 자산을 발행할 수 없는 크로스체인 브릿지 프로토콜은 '유동성 네트워크' 방식을 사용한다. 유동성 제공자(LP)가 목표 체인의 유동성 풀에 자산을 예치하면, 이 자산들은 해당 블록체인으로 브릿지되는 사용자들이 사용할 수 있게 된다. 사용자가 원래 체인의 자산을 인출하면, 해당 자산은 다시 유동성 풀로 반환된다.

L2 Beat에 따르면, Multichain은 수십 개의 블록체인을 연결하며 두 가지 브릿징 방식 모두를 활용한다. 상황에 따라 자산을 발행하거나 유동성 풀을 구성하는 방식을 선택한다.

키엡셰프스키는 직접 Multichain에 연락해 대표자에게서 암호화 자산이 크로스체인 유동성 풀 제공에 사용되었다는 설명을 들었다고 밝혔다.

그는 "Multichain 측은 자금이 여전히 Multichain 생태계 내에 존재하므로 문제없다고 주장한다. 사용자는 언제든지 필요한 금액을 인출할 수 있을 것이라고 본다는 입장이다. 하지만 이제 감사를 수행하려면 전체 Multichain 생태계를 분석해야 하므로, 매우 복잡해졌다"고 말했다.

Open Zeppelin의 루엘렌도 이에 동의하며 "유동성 네트워크라도 다양한 유동성 풀과 체인을 살펴보고, 브릿지가 발행한 전체 자산이 다른 곳의 유동성 풀과 일치하는지 확인할 수 있는 방법이라도 있어야 한다"고 지적했다.

루엘렌과 키엡셰프스키 모두, 사용자 자금의 흐름을 시각화할 수 있는 대시보드를 제공한다면 암호화 자산 이동에 대한 우려를 완화하는 데 크게 기여할 것이라고 말했다.

소프트웨어 취약점

키엡셰프스키는 Multichain이 안전한 자금 보관처인지 평가할 때 새로운 질문이 제기되고 있다고 말했다. 일반적으로 감사는 소프트웨어 취약점 여부를 확인하는 데 초점을 맞췄지만, 이제는 사용자들이 Multichain 자체가 자금을 맡길 만큼 신뢰할 수 있는지 의문을 갖게 됐다.

자금이 적절히 보관되고 있다 하더라도, 즉시 인출이 어려울 수도 있다. 루엘렌은 이 부분에서 Multichain의 자체적인 문제를 지적하며, Fantom 브릿지에서 예치된 DAI 자산이 Multichain이 Fantom 체인에 발행한 DAI보다 적어 보인다고 말했다.