;)
;)
이더리움-솔라나 브릿지 플랫폼, 12만wETH 토큰 제거돼 해커의 솔라나와 이더리움 지갑서 유통
이미지 확대보기
암호화폐 전문매체 코인텔레그래프는 3일 웜홀 토큰 브리지가 이날 보안 침해로 인해 플랫폼에서 12만 wETH 토큰(약 3억2100만 달러)이 손실되는 피해를 입었다고 보도했다.
'웜홀'은 중앙 집중식 거래소(CEX)를 이용하지 않고도 이더리움(ETH), 솔라나(SOL), 보우스코인(BSC), 폴리곤(MATIC), 아발란체(AVAX), 오아시스(XOS), 테라(LUNA) 간 암호화폐를 주고받을 수 있는 토큰 브리지다.
이더리움과 솔라나의 토큰 브리지에서는 플랫폼에서 12만wETH 토큰이 제거돼 해커의 솔라나와 ETH 지갑 사이에 유통됐다.
이번 해킹은 솔라나 브리지에서 발생했으며 웜홀의 테라 브리지도 이와 비슷하게 취약할 수 있다는 우려가 제기됐다
앞서 크립토슬레이트는 2일 오전 솔라나 웜홀(Solana Wormhole) 브리지가 8만 ETH(약 2억1230만 달러)를 악용하는 해커의 희생물이 됐다고 보도했다.
이더스캔(Etherscan)에 따르면 래핑된 ETH(WETH)의 8만 개가 해커의 지갑으로 이체됐다. 이는 솔라나 블록체인의 많은 양의 ETH가 이제 지원되지 않음을 의미한다.
이미지 확대보기
웜홀 팀은 "WETH가 1:1로 지원되도록 하기 위해 ETH 공급을 보충할 것"이라고 커뮤니티에 장담했지만, 그 자금이 어디서 언제 들어올지에 대해서는 아직 소식이 없다.
한편, 이번 해킹은 2월 2일 오후 6시 24분에 일어났다. 공격자는 솔라나에서 12만WETH(WETH)를 주조한 뒤 오후 6시28분 이더리움 네트워크에서 2억5400만달러(3063억 원) 상당의 ETH 9만3750WETH를 상환했다. 해커는 이후 일부 자금을 활용해 스포츠X(SX), 메타캐피털(MCAP), FUCK(Fually Usable Crypto Karma), 보어드에이프 요트클럽 토큰(APE) 등을 사들였다.
나머지 WETH는 솔라나의 SOL과 스테이블코인 USDC로 교환됐다. 해커의 솔라나 지갑에는 현재 43만2662 SOL(4400만 달러, 약 531억 원)이 들어 있다.
웜홀이 서비스하는 다른 자산이나 체인은 영향을 받지 않았지만 스마트계약 감사업체 커틱은 오늘 보고서를 통해 "웜홀의 테라 블록체인 브리지가 자사 솔라나 브리지와 동일한 취약성을 공유하고 있을 가능성이 있다"고 밝혔다.
웜홀 팀은 이더리움 주소를 통해 해커에게 연락해 남은 자금이 반환될 경우 훔친 1000만달러 어치를 해커가 보관하게 해주겠다고 제안했다.
이 팀은 "웜홀 배포자다. 우리는 당신이 솔라나 VAA 인증과 민트 토큰을 이용할 수 있다는 것을 알고 있다. 우리는 당신에게 화이트햇 계약을 제안하고, 착취에 대한 세부 사항과 당신이 발행한 WETH를 반환하는 것에 대해 1000만 달러의 버그를 제안하고 싶다. contact@certus.one으로 연락하면 된다"고 밝혔다.
현재 웜홀 팀이 취약성을 수정하려고 시도하는 동안 브리지를 통해 전송된 wETH 토큰은 아직 상환할 수 없다.
토큰 브리지에 대한 스마트 컨트랙트 악용은 일주일 만에 두 번째 발생했다. 지난 1월 28일 큐빗 파이낸스의 Q브리지(QBridge)는 BSC에서 8000만 달러 피해를 입었다. 이는 지난해 8월 플랫폼에서 6억1000만 달러의 암호화폐가 도난당한 폴리 네트워크 해킹 사건을 연상시키기도 한다. 폴리 네트워크의 경우, 화이트햇(whitehat) 해커가 거의 모든 자금을 반환했다. 당시 화이트햇 해커들은 네트워크의 취약성을 경고하기 위해 해킹을 했다고 공언했다.
토큰 브릿지에 대한 스마트 컨트랙트 해킹 빈도는 지난 1월 7일 비탈릭 부테린이 "브릿지의 근본적인 보안 한계가 있다"고 경고한 것을 입증했다. 이더리움 공동창업자인 비탈릭 부테린의 훈계는 이더리움에 대한 51% 공격의 맥락 안에 있었지만, 레이어-1 블록체인을 가로질러 토큰을 보내는 브리지의 일반적인 취약성을 지적한 그의 조언은 시의적절했다고 코인텔레그래프는 지적했다.
김성은 기자
[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.
