권한확인 취약점에 1억달러 이더리움 탈취…탈중앙 책임 어쩌나 작성일 11-05 53 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">"건실했던 거래 프로토콜이었는데…밸런서 로직함수 결함 악용"<br>"탈중앙화할수록 사고 책임 분산…위협시나리오 반영 설계해야"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="9FP4mOQ9XO"> <figure class="figure_frm origin_fig" contents-hash="b8c79e4ac1a9d9f9d42801eaf0c419d9d5e07b1d82de9851ef053b56a3a52a22" dmcf-pid="23Q8sIx25s" dmcf-ptype="figure"> <p class="link_figure"><img alt="26일 서울 서초구 빗썸 고객센터에 비트코인을 비롯한 알트코인 시세가 보이고 있다. . ⓒ News1 이재명 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/05/NEWS1/20251105155629915irdk.jpg" data-org-width="1400" dmcf-mid="KWDcF0waGI" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/05/NEWS1/20251105155629915irdk.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 26일 서울 서초구 빗썸 고객센터에 비트코인을 비롯한 알트코인 시세가 보이고 있다. . ⓒ News1 이재명 기자 </figcaption> </figure> <p contents-hash="56b085f1b4a68559dcdc9757dfb4a310bb1e801cd8aa579683066d3418fe81f9" dmcf-pid="V0x6OCMV1m" dmcf-ptype="general">(서울=뉴스1) 윤주영 기자 = 최근 1852억 원가량(1억 2800만 달러)의 이더리움이 탈취되면서 '탈중앙화 금융(디파이)' 시스템을 향한 근본적 보안 우려가 제기된다. 개별 거래소 이슈가 아닌, 거래 프로토콜인 '밸런서'의 접근권한 취약점 자체가 악용됐기 때문이다.</p> <p contents-hash="d6b8467955acfb751fbb1c2e41c913aa017b1554a25cc247606cd280a0918951" dmcf-pid="fpMPIhRfZr" dmcf-ptype="general">블록체인 생태계가 탈중앙화할수록 여러 참여자가 관여하기 때문에, 보안 책임을 따지기도 점점 힘들어진 전망이다. 스마트 콘트랙트의 설계부터 위협 시나리오를 설정하는 '보안 내재화'가 과제로 제시된다.</p> <p contents-hash="2dd91e292bf1cbf824fc19603a772462be68285a862d875b8d2394fdde9576f0" dmcf-pid="4URQCle4Hw" dmcf-ptype="general">5일 외신 등을 종합하면 이달 3일 신원 미상의 공격자가 밸런서 V2의 스마트 콘트랙트 접근 권한 설정의 취약점을 악용, 대규모로 자산을 탈취했다.</p> <p contents-hash="08c5df40aadabc524341e44b404e8ac33cfd3fd16a4669fecda9bfd7fe2fc342" dmcf-pid="8uexhSd8XD" dmcf-ptype="general">밸런서 프로토콜에 기반한 풀(pools)에서 피해가 발생했다. 이더리움 기반 스테이킹 자산인 랩드 이더리움(WETH), osETH, wstETH 등이 대표적이다.</p> <p contents-hash="e680f7bea25e90f20cc980f4fd11ebafe4f21c4d249ff685f32e381acf25505a" dmcf-pid="6aTl9VyOZE" dmcf-ptype="general">웹3 보안 플랫폼 디큐리티(Decurity) 등은 밸런서의 'manageUserBalance' 함수 상의 치명적 결함이 공격을 허용했다고 지목한다. '_validateUserBalanceOp'라는 로직이 거래(트랜잭션) 발신자와 사용자 제공 발신자 간을 제대로 검증하지 못했다.</p> <p contents-hash="0c742585e825b258c96a28c01ea966146caad877b14e01c1cfca0e4c051167a3" dmcf-pid="PNyS2fWIHk" dmcf-ptype="general">제대로 된 프로토콜이라면 자금을 인출하려는 사람이 실제 주인인지 검증해야 한다. 하지만 로직 허점 탓에 거래 요청자와 신청서 상의 이름이 일치하는지만 검증됐다. 접근권한 관리가 철저하게 이루어지지 못한 것이다.</p> <p contents-hash="f1f918697668fff3f28ddc87fa4f5c995dc410dfe51c3f842f2bff6a929114b8" dmcf-pid="QjWvV4YCtc" dmcf-ptype="general">밸런서 V2를 개발한 곳이 부실한 스타트업도 아니었다. 2020년 출범한 회사는 다수의 보안 감사를 통과했으며, 오픈소스 커뮤니티 안에서도 상대적으로 안정된 프로토콜을 만든다고 평가받았다.</p> <p contents-hash="13dcae62144a6163bb4f386cfda96b57c7298833eb908cb96a7f897d5f10e9ba" dmcf-pid="xAYTf8GhXA" dmcf-ptype="general">이 때문에 전체 이더리움 대비 피해액이 크진 않지만, 블록체인의 근본적 보안 문제를 여실히 보여줬다는 평가까지 나온다.</p> <p contents-hash="2a0878fa7f9f0f679f1365d7202b418ee53a6e04094116a5d6ed43060255e293" dmcf-pid="yURQCle4Zj" dmcf-ptype="general">박세준 티오리 대표는 "올해 2월 2조 원대 피해를 야기한 바이비트 해킹 사태는 개별 거래소 이슈였지만, 이번 건은 디파이 프로토콜 자체가 악용된 것"이라며 "이런 취약점들은 기존에도 있었고, 앞으로도 계속 드러나게 될 것"이라고 내다봤다.</p> <p contents-hash="65f2690b61f037550d73eb82c63bcbcd9092c4b7c24b0d561b77e0e64c15bd7b" dmcf-pid="WuexhSd8tN" dmcf-ptype="general">현재로서는 밸런서와 같은 특정 프로토콜은 회사나 재단에서 주도하는 경우가 많다. 하지만 앞으로 본격적인 탈중앙화 블록체인 생태계가 도래한다면, 보안 사고의 책임을 따지기가 어려워질 거라고 박 대표는 꼬집었다. 시스템 참여자 모두에게 책임이 분산되기 때문이다.</p> <p contents-hash="7781d20ba58f07c0bf43efeb6e280586dd2f3621e03059d1465ebd2743a3066f" dmcf-pid="Y7dMlvJ6Ha" dmcf-ptype="general">박 대표는 "스마트 콘트랙트의 코드가 공개되건 안 되건, 코드 보안성 자체를 높이려는 노력이 필요하다"며 "설계 단계부터 위협 시나리오를 설정해야 하고, 이를 구현할 때도 방어적 접근인 '시큐어 코딩'이 필요하다"고 덧붙였다.</p> <p contents-hash="ba9bd2d1c6c336453a2deac6863c8c1c546c4a534a64eff2dbffd4d93ec8aead" dmcf-pid="GzJRSTiPtg" dmcf-ptype="general">한편 공격이 수개월 전부터 준비됐으며, 북한 배후의 '라자루스' 조직과 수법이 유사하다는 분석도 있다. 공격자는 흔적을 남기지 않기 위해 암호화폐 믹서인 '토네이도 캐시'로 0.1이더리움씩을 지속 입금, 해킹용 지갑을 조심스럽게 구축했다고 전해진다.</p> <p contents-hash="a069368858e6bbcca4eaec924e02ebfb779e08772a236f356da79bc5de215f7e" dmcf-pid="HqievynQto" dmcf-ptype="general">legomaster@news1.kr </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 “불보다 더 끔찍한 유독가스였는데” 사람 살릴 ‘이 기술’…소방관마저 울컥했다 11-05 다음 제45회 전국장애인체육대회 폐막…육상 신현진 첫 출전에 3개 종목 한국新 쾌거 11-05 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
