지난 3월 29일, 글로벌 P2E 게임의 대표주자인 '엑시 인피니티'가 해킹 당했다는 소식이 전해졌다. 개발사인 스카이 마비스 측은 173,600 이더리움과 2,550만 달러(한화 약 320억 원) 상당의 스테이블 코인 USDC가 해킹당했다고 전했다. 29일 기준으로 1 이더리움의 가격을 약 410만 원이라고 했을 때 도합 7,400억 원 상당의 가상자산이 해킹당한 것이다. 블록체인과 관련해서는 역대 최고 액수다.
보도에 따르면 해커들은 엑시 인피니티에 사용되는 이더리움 연동 사이드체인인 로닌 네트워크를 목표로 삼았다. 로닌 네트워크의 취약점을 공격한 것으로, 해당 사태가 발생하자 로닌 네트워크는 보안을 강화하는 등의 후속 대응에 나섰다.
보안을 강점으로 삼는 블록체인 기술이 해킹당했다는 사실 역시 문제지만 더 큰 문제는 따로 있다. 바로, 해킹 사실을 뒤늦게 알았다는 점이다. 이더리움 블록체인과 관련한 트랜잭션 조회 등이 가능한 이더스캔에 따르면 해킹은 23일 두 차례에 걸쳐 발생했다. 해당 해킹으로 무려 7,400억 원 상당의 가상자산이 해킹당했음에도 개발사인 스카이 마비스는 약 일주일이나 뒤늦게 안 셈이다.
이번 해킹의 배후로 FBI는 북한을 지목했다. '라자루스'라고 불리는 북한 해킹 그룹으로, 지난 2014년에는 소니픽쳐스를 해킹해 기밀 자료를 유출하겠다고 해 화제를 모으기도 했던 해킹 그룹이다. 당시 라자루스는 김정은 암살을 다룬 코미디 영화 '인터뷰' 제작 중단을 요구했으나 이를 들어주지 않자 보복 해킹을 한 바 있다.
'엑시 인피니티' 해킹이 발생한 지 약 한 달쯤이 되어가는 이때, 재차 NFT 관련 해킹이 발생했다. 피해자는 세계 최대의 NFT 프로젝트 'BAYC(Board Ape Yacht Club, 지루한 원숭이의 요트 클럽)'다. 이번 해킹으로 11개의 'BAYC' NFT가 해킹당했다. 정확한 피해 규모는 집계되지 않았으나 최소 약 100만 달러(한화 약 12억 원)의 피해가 발생한 것으로 파악된다.
해킹이라고 했지만, 블록체인 네트워크의 취약점을 공격해서 해킹한 '엑시 인피니티'와는 상황이 좀 다르다. 'BYAC' 해킹은 이른바 가짜 링크를 올려서 이용자를 낚는 식으로 이뤄졌기 때문이다. 해커들은 먼저 'BYAC' 공식 인스타그램을 해킹한 후 전지지갑 주소가 연결되는 가짜 링크를 공지사항에 오리는 방식으로 'BYAC' NFT를 빼돌렸다.
'BYAC'만이 아니다. 4월 들어 비슷한 가짜 링크를 이용한 낚시성 해킹이 더러 발생했다. 국내에서는 클레이튼 기반의 NFT 프로젝트 '메타콩즈'의 디스코드가 해킹당해 관련 NFT가 해킹되는 사례가 발생하기도 했다. 해당 해킹으로 '메타콩즈'는 11.9 이더리움, 한화 약 4,800만 원 상당의 피해를 본 바 있다.
최근 P2E 게임, NFT, 그리고 블록체인에 대한 관심이 뜨거워지면서 이와 관련한 해킹 사례도 늘고 있다. 해킹당하는 사례 역시 다양하다. '엑시 인피니티' 같은 P2E 게임부터 '메타콩즈', 'BYAC' 같은 NFT 프로젝트, 그리고 클레이스와 같은 디파이(De-Fi) 서비스까지. 사실상 블록체인 사업 전체가 해커들의 먹잇감이 된 셈이다.
하루가 멀다하고 발생하는 해킹 사건을 막기 위해선 블록체인 사업자 차원에서는 보안을 더 강화하는 한편, 이용자들의 불분명한 링크 연결 등에 주의가 필요해 보인다.
Nowl@inven.co.kr
페이지 구독하기
다른 기사 보기
기사 제보하기
