
역사상 최대의 DeFi 해킹 사건, 기이함과 터무니없음으로 가득 차

폴리 네트워크(Poly Network)에서 총 6.1억 달러 상당의 암호화폐가 도난당하며 암호화 역사상 최대 규모의 DeFi 해킹 공격 사건이 발생했다. 이 사건은 수수께끼로 가득 찼을 뿐 아니라 기이하고 황당한 요소가 많으며, 거기에 행동 예술까지 섞여들었다.
어떻게 해서 도난했는가?
8월 10일 저녁, 크로스체인 상호운용성 프로토콜인 폴리 네트워크(Poly Network)는 갑작스럽게 공지를 발표하며 해커의 공격을 받아 이더리움, BSC, 폴리곤(Polygon) 세 개 체인에서 각각 2.5억 달러, 2.7억 달러, 8500만 달러 상당의 암호자산이 훔쳐졌으며 손실 총액이 무려 6.1억 달러에 달한다고 밝혔다.
도난 원인에 대해서는 주로 두 가지 주장이 존재한다.
보안 회사 블록섹(BlockSec)는 분석 보고서를 통해 이번 공격의 원인이 크로스체인 서명에 사용되는 개인키 유출이거나 서명 프로그램의 논리적 결함으로 인해 공격 트랜잭션이 서명되었기 때문일 수 있다고 밝혔다.
이에 바로 반응한 보안 업체 만무(慢雾)는 분석을 통해 공격자가 정교하게 구성된 데이터를 이용해 이더리움 크로스체인 컨트랙트 내 'keeper'를 공격자가 지정한 주소로 변경했으며, 온라인에서 유출되고 있는 것처럼 'keeper의 개인키 유출'로 인해 발생한 사건이 아니라고 주장했다.
블록체인 데이터 플랫폼 브레드크럼스(Breadcrumbs)의 분석 역시 만무의 분석에 더 가까운 것으로 나타났다.
폴리 네트워크는 일련의 스마트 컨트랙트를 통해 네트워크 상의 자금을 관리하고 있다. 이더리움에서는 다음 세 개의 폴리 네트워크 컨트랙트가 관리에 참여한다:
이더리움 크로스체인 매니저
0x838bf9e95cb12dd76a54c9f9d2e3082eaf928270
이더리움 자산 에이전트
0x250e76987d838a75310c34bf422ea9f1AC4Cc906
이더리움 크로스체인 데이터
0xcf2afe102057ba5c16f899271045a0a37fcb10f2
이더리움 크로스체인 데이터 컨트랙트에 저장된 중요한 변수는 어느 주소가 '합의 장부 작성자(consensus keeper)'인지 결정하며, 이 장부 작성자는 폴리네트워크의 모든 자산을 보유한 이더리움 자산 에이전트 컨트랙트로부터 자금을 인출할 권한을 갖는다.
해커는 특정 데이터를 사용하여 이더리움 크로스체인 매니저를 호출하고, 장부 작성자 변수를 자신의 주소로 설정했다. 이 변수 변경 작업은 아래 이더리움 트랜잭션에서 실행되었다:
0xb1f70464bd95b774c6ce60fc706eb5f9e35cb5f06e6cfe7c17dcda46ffd59581
자신의 주소를 이더리움의 장부 작성자로 설정한 후, 해커는 이더리움 자산 에이전트 주소에서 10종류의 서로 다른 자산을 자신의 주소로 인출했다.
그 후, 해커는 바이낸스 스마트 체인(BSC)과 폴리곤(Polygon) 네트워크에서도 동일한 절차를 반복했다.
현재 도난된 자산은 주로 이더리움과 바이낸스 스마트 체인에 집중되어 있으며, 자산 종류는 USDC가 대부분이다.


국내인 범행인가?
이처럼 대규모 해킹 공격이 내부 팀원이나 관련자에 의한 소행일 가능성은 없을까?
스시(Sushi)의 보안 연구원 무디트 구프타(Mudit Gupta)는 해커가 어떤 방법으로 키를 입수했을 수도 있지만, 내부 인물과 공모했을 가능성도 배제할 수 없다며 좀 더 철저한 조사가 필요하다고 말했다.
공격자의 주소를 추적한 결과 한 거래소가 부상했다 —— 후오비(Hoo).
만무(慢雾)는 후오비(Hoo) 및 여러 거래소의 기술 지원 하에 해커의 초기 자금 출처가 모네로(XMR)였음을 확인했으며, 이를 거래소에서 BNB, ETH, MATIC 등으로 교환한 후 3개 주소로 출금했고, 곧이어 3개 체인에서 공격을 시작했다.
즉, 해커는 KYC 미실시 계정으로 후오비에 모네로를 입금한 후, 이를 BNB, ETH, MATIC로 교환해 공격 시 필요한 가스비로 사용한 것이다.
사건 발생 직후 후오비는 즉각 폴리네트워크 도난 관련 성명을 발표했다:
1. 후오비는 즉시 업계 유명 보안 회사에 관련 정보를 제공하며 추적을 협조했다.
2. 후오비는 즉시 해당 토큰의 입출금을 중단하고, 도난 자금의 거래소 유입을 전면 금지했다.
3. 후오비는 사건 동향을 면밀히 주시하며 업계 정의 수호와 해커 단속에 앞장설 것이다.
만무 보안팀은 체인 상·하 정보를 종합적으로 추적한 결과 폴리네트워크 공격자의 이메일, IP, 디바이스 지문 등의 정보를 확보했으며, 이번 공격은 매우 조직적이고 사전에 철저히 준비된 음모일 가능성이 높다고 판단했다.
이에 따라 국내인의 소행이며 내부자 공모라는 의심이 커뮤니티 내에서 더욱 강하게 제기되기 시작했다.
행동 예술
이번 도난 사건에는 다소 풍자적인 소동이 하나 있었다.
hanashiro.eth라는 주소가 해커의 주소로 메시지를 보내며 "USDT가 동결됐으니 사용하지 마라"고 알렸다.

감사의 표시인지, 해커는 해당 주소에 13.37ETH를 송금했다.
이후 이를 본 투기꾼들이 몰려들어 줄줄이 해커 주소로 메시지를 보내며 보상을 받기를 기대했다.
누군가는 아들이라 칭하며, 누군가는 스승이라 불렀고, 또 누군가는 자신의 투자 실패담을 울며 호소하기도 했다….

하지만 사람들은 13.37ETH를 받은 hanashiro.eth에 주목하지 않았다. 왜 하필 13.37ETH일까?
Leet(1337)는 서양권의 BBS, 온라인 게임, 해커 커뮤니티에서 유래한 문자 표현 방식으로, 일명 '해커어'라 불린다. 여기서는 나는 실력 좋은 해커다라는 의미를 전달하려는 듯하다.
ETH를 받은 hanashiro.eth는 이전에 바이낸스 거래소와 여러 번 자산 거래 기록이 있었으며, 법적 책임을 두려워한 듯, 받은 ETH를 모두 바이낸스 자선단체(Binance Charity), Infura, Rekt, Archive.org에 기부했다. 각 기부 건당 1.339ETH씩이며, 체인 상에는 시적이거나 가사 같은 문구를 남기며 대규모 행동 예술을 연출했다.

수취처: 바이낸스 자선단체(Binance Charity)
메시지:
우리는 세계다
우리는 아이들이다
우리는 더 밝은 날을 만들어내는 사람들이다. 그러니 우리가 먼저 나서야 한다.
우리는 선택을 하고 있다
우리는 우리 자신의 생명을 구하고 있다
진실은, 너와 나만 있으면 더 나은 날을 만들 수 있다는 것이다.
수취처: Etherscan
메시지:
오, 그들에게 마음을 주어라
누군가 걱정하고 있다는 것을 알려주어라
그들의 삶은 더욱 강력하고 자유로워질 것이다
하나님이 돌을 빵으로 변하게 보여주셨던 것처럼
우리 모두는 도움의 손길을 내밀어야 한다
수취처: Infura
메시지:
당신이 막다른 골목에 다다랐을 때 희망은 없는 것처럼 느껴질지도 모른다
하지만 당신이 믿는다면 우리는 결코 넘어지지 않는다
좋아, 좋아, 좋아, 우리가 알아차리도록 하자
오직 우리가 하나로 뭉칠 때 변화가 가능하다
우리가 하나가 될 때, 맞아, 맞아, 맞아
수취처: Rekt
메시지:

일본 노래 한 곡

일본 노래 한 곡
수취처: Archive.org
메시지:
우리는 더 이상 계속해서
하루하루를 위선적으로 살아갈 수 없다
누군가, 어디선가 곧 변화가 일어날 것이다
우리는 모두 하나님의 큰 가족이다
사실은, 사랑이 우리가 필요한 전부라는 것을 알고 있다는 것이다
수취처: 본인
메시지:
저는 지나가는 암호화 애호가일 뿐입니다. 해커의 테더/써클 블랙리스트 상태를 확인하고 해당 메시지를 보냈습니다.
누가 불안해하는가?
아마도 이것이 해커 인생에서 가장 부유한 순간일 것이다. 그는 체인 상에 두 가지 메시지를 전달했다:
"내가 '쓰레기 코인' 몇 개만 더 전송하면 이건 10억 달러 사건이 되겠지! 내가 오히려 이 프로젝트를 구한 게 아닐까? 나는 돈에 관심 없어. 지금 일부 토큰을 돌려줄지 말지 고민 중이다."
"새로운 토큰을 발행해서 DAO가 이 토큰의 행방을 결정하게 하는 건 어떨까?"
해커의 오만함 속에 살짝 스며든 두려움. 반면 피해 프로젝트 측은 겉으로는 단호한 태도를 보였다. 폴리네트워크는 공개 서한을 발표하며 다음과 같이 밝혔다:
당신과 연락을 취하고 싶으며, 도난당한 자산을 반환해주길 바랍니다.
당신이 훔친 자산의 금액은 DeFi 역사상 최대이며, 어느 나라의 법률도 이를 중요한 경제 범죄로 간주할 것이며, 당신은 수배될 것입니다.
추가 거래는 당신에게 현명하지 못한 일입니다. 이 자산들은 수천 명의 커뮤니티 구성원들의 재산입니다. 당신은 우리와 대화를 나누어 해결책을 찾아야 합니다.

하지만 처음부터 "Dear"라는 표현을 쓴 순간, 폴리네트워크는 이미 패배한 셈이었다.
좁은 길에서 마주친 양자, 이제는 심리전의 순간이다. 기술적인 추적과 역추적이 펼쳐지는 가운데, 결국 '사슴은 누구 손에 넘어갈 것인가'?
결국 모든 고통은 도난당한 자산의 소유자들이 감수해야 한다.
이번 도난 사건의 피해자는 주로 상하이 지역의 고자산층이 중심이며, 업계 유명 인사조차 1억 달러 이상의 손실을 입었다는 소식도 있다.
"열심히 벌어 작은 돈을 모았는데, 한순간 도난으로 제로가 됐다." 항상 잠재적인 블랙 스완을 경계해야 한다.
마지막으로, 아주 풍자적인 논평 하나:
도난 전: 코드가 곧 법이다. DeFi는 정부, 경찰, 법원, 법률 따위 필요 없다. 정부 따윈 쳐다보지도 마!
도난 후: 어이, ……경찰? 저희 해킹 당했습니다. 돈이 모두 사라졌어요. 도와주세요.

코드의 규칙이 우선인가, 아니면 법률의 규칙이 우선인가? DeFi는 규제를 받아야 하는가? 테더(Tether)는 자산을 동결해야 하는가? 탈중앙화의 한계는 어디까지인가?
아마도 깊이 생각해볼 가치가 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














