최근 디파이(탈중앙화 금융, De-fi) 서비스가 잇따라 해킹을 당하면서 해결해야 할 문제점도 부각되고 있다. 보안을 위해 스마트 컨트랙트 의존도를 줄이면 탈중앙성이 줄어들고, 추가 보안장치를 두면 비효율성이 초래되는 등 난제가 수면 위로 드러났다. 또 외부의 가격 데이터를 디파이 서비스 내로 들여올 때 발생하는 오라클 문제도 여전히 걸림돌이다.
지난 18일(현지시간) 디파이 서비스 유니스왑(Uniswap)과 디포스(dForce)는 해킹으로 잇따라 자금을 탈취 당했다. 암호화폐 보안 업체 팩실드에 따르면, 유니스왑은 23만 달러(2억 9,000만 원) 가량을, 디포스는 2,500만 달러(305억 원)에 달하는 자금을 탈취 당한 것으로 추산된다.
두 해킹에 공통적으로 이용된 암호화폐는 이더리움 기반 토큰 imBTC다. imBTC는 비트코인(BTC) 가격을 추종하는 이더리움 기반 토큰으로, 이더리움의 토큰 발행 표준 ERC-777로 발행됐다. ERC-777 자체에는 결함이 없었지만, ERC-777 스마트 컨트랙트와 디파이 서비스의 스마트 컨트랙트가 호환되는 과정에 보안 취약점이 있었다. 해커는 이 보안 취약점을 이용해 공격을 감행했다.
이에 디파이 서비스가 스마트 컨트랙트에 대한 의존도가 높은 탓에 보안이 흔들린다는 지적이 나왔다. 그러나 의존도를 줄이기는 힘들 것으로 보인다. 스마트 컨트랙트를 기반으로 운영되는 것이 디파이의 핵심이기 때문이다. 사람이나 중앙기관의 관리 대신 알고리즘, 즉 스마트 컨트랙트로 운영돼야 진정한 ‘탈중앙화 금융’이라는 의견이 보편적이다. 남두완 메이커다오 한국 대표는 “디파이 자체가 스마트 컨트랙트 기반이니 스마트 컨트랙트를 줄이면 탈중앙성이 줄어든다”며 “보안 감사 등의 장치로 보안의 취약성을 줄여야 한다”고 말했다.
이번 유니스왑 해킹에 이용된 보안 취약점 역시 지난해 컨센시스가 유니스왑의 스마트 컨트랙트를 감사하는 과정에서 지적됐던 취약점이다. 탈중앙성을 잃지 않으면서 서비스 보안을 유지하기 위해선 더욱 철저한 스마트 컨트랙트 감사가 필요하다. 민다오 양(Mindao Yang) 디포스 설립자는 블로그를 통해 “제3기관을 통한 보안 감사로 보안을 더욱 강화하겠다”고 밝혔다.
스마트 컨트랙트 감사뿐 아니라 보안 유지를 위한 추가 장치도 둘 수 있다. 하지만 추가 보안 장치로 인해 비효율성이 초래되기도 한다. 이 점 역시 계속 해결책이 논의되어야 하는 문제다.
이번 디포스 해킹은 디포스의 암호화폐 랜딩(Lending) 서비스 Lendf.me에서 발생했다. Lendf.me에선 imBTC를 맡기고 다른 암호화폐를 대출할 수 있다. 이 때 해커는 imBTC 입금을 명령하는 공급(Supply) 함수 사이에 출금(Withdraw) 함수를 넣어 imBTC를 빼갔고, imBTC가 담보로 입금되는 것처럼 보이게 하면서 실제 입금은 하지 않았다. Lendf.me 서비스 상에선 imBTC 담보가 입금된 것처럼 나타나므로 이 담보를 이용해 다른 암호화폐를 대출할 수 있었다.
디파이 시장에서 가장 높은 점유율을 차지하는 메이커다오도 이더리움(ETH), 베이직어텐션토큰(BAT) 등 암호화폐를 담보로 맡기고 스테이블코인 다이(DAI)를 대출하게끔 한다. 이때 메이커다오는 담보로 빌릴 수 있는 DAI의 양에 제한을 뒀다. Lendf.me를 공격한 해커는 imBTC를 담보로 빌릴 수 있는 암호화폐를 전부 다 빼갔지만, 메이커다오에선 빌리는 금액에 제한선이 있기 때문에 이런 해킹은 불가능하다.
하지만 이 같은 ‘제한 두기’ 방법은 해킹을 막는 대신 비효율을 초래한다. DAI가 급하게 필요할 때조차 원하는 양을 효율적으로 빌릴 수 없기 때문이다. 지난달 전 세계 증시와 암호화폐 가격이 폭락한 ‘검은 목요일’ 당시엔 하락장에 대응하기 위한 수단으로 스테이블코인의 수요가 크게 불어났다. 빌리는 양에 제한이 있는 메이커다오에서 사람들은 원하는 만큼 DAI를 빌릴 수 없었고, DAI를 대출할 수 있는 또 다른 플랫폼 dYdX에선 DAI 대출이자가 40%까지 치솟았다. 이에 보안과 효율 간 접점을 찾는 것도 디파이 서비스들의 과제로 남았다.
오라클 문제란 블록체인 밖 데이터를 블록체인상으로 들여올 때 발생하는 정보의 신뢰성 문제를 말한다. 디파이 서비스도 가격 정보 등 외부 데이터를 서비스 내 스마트 컨트랙트에 이용해야 한다. 이때 중앙화 거래소로부터 가격 정보를 제공 받으면 디파이의 탈중앙성이 침해되므로 카이버네트워크 같은 탈중앙화거래소(DEX)로부터 정보를 제공 받는 경우가 많다.
하지만 DEX는 유동성이 크게 부족해 가격 조작 위험에 노출될 수 있다. 지난 2월 디파이 대출 서비스 bzx가 당한 해킹에도 부족한 유동성을 이용해 암호화폐 가격을 조작하는 공격 과정이 포함됐다. 한 플랫폼의 가격을 조작하면 그 플랫폼으로부터 가격 정보를 받는 다른 디파이 서비스도 잘못된 정보를 받게 되고, 해커는 그 취약점을 노렸다.
디파이 서비스는 이 같은 문제를 해결하고자 오라클 솔루션을 적극적으로 도입하고 있다. 해킹 당한 bzx를 비롯해 카바(Kava), HDAO 등 다양한 디파이 서비스가 최근 체인링크의 오라클 솔루션을 도입했다. 또 다른 오라클 솔루션 밴드프로토콜의 케빈 루(Kevin Lu) 비즈니스 개발 담당은 블로그를 통해 “디파이 서비스는 해킹에 실패하더라도 해커가 감당할 위험이 없고, DEX의 부족한 유동성에 의존하고 있어 해킹에 취약하다”며 오라클 솔루션의 필요성을 강조했다.
/박현영 기자 hyun@decenter.kr
- 박현영 기자
- hyun@decenter.kr
< 저작권자 ⓒ 디센터, 무단 전재 및 재배포 금지 >
