출처=Warren Wong/Unsplash
출처=Warren Wong/Unsplash

최근 디파이(DeFi, Decentralized finance) 열풍과 함께 계획적 범죄 발생 건수도 급속도로 증가하고 있다.

디파이펄스(DeFi Pulse)에 따르면, 디파이 프로토콜에 잠겨있는 자금의 총 가치를 나타내는 TVL은 올해 초 10억달러였던 것이 무려 137억달러로 급증했다.

이 자금의 대부분은 메이커다오(MakerDAO), 컴파운드(Compound), 유니스왑(Uniswap) 등 소수의 유명 스마트계약으로 흘러 들어갔지만, 소규모 프로그램에도 일부 자금이 유입되었다.

11월 초 블록체인 보안 업체 사이퍼트레이스(CipherTrace)의 애널리스트들은 1억달러에 가까운 암호화폐가 여러 디파이 앱에서 탈취된 사실을 발견했다. 실제 이러한 도난 사건은 업계 전반에 걸친 암호화폐 공격의 약 40%를 차지한다.

악성 공격으로 인한 피해액은 11월에만 아크로폴리스(Akropolis)가 200만달러, 치즈뱅크(Cheese Bank)가 330만달러, 벨류파이낸스(Value Finance)가 600만달러, 오리진 프로토콜(Origin Protocol)이 700만달러였다.

탈중앙 프로토콜에서 무담보 대출을 받아 다른 플랫폼에서 차익 거래를 하는 이른바 ‘플래시론(flash loan)’이라는 새로운 금융 기법이 공격에 악용됐다.

디파이에서 플래시론이 악용되는 사례가 늘면서 완벽히 관리되지 않는 플래시론이 문제의 핵심이라고 생각하는 이들이 생겨났다. 하지만 업계 전문가들의 진단은 다르다.

“많은 사람이 최근 디파이에서 자주 일어나는 범죄가 플래시론 때문이라고 생각하는데, 이러한 범죄의 대부분은 자금이 넉넉한 사람이라면 누구라도 저지를 수 있다. 플래시론이 유일하게 역할을 하는 부분이 있다면 무담보 대출이 가능하게 함으로써 누구든 자금이 넉넉한 사람으로 만들어 준다는 것뿐이다.”

진짜 문제는 제대로 설계되지 않은 스마트계약에 있다. 특히 소규모 프로젝트의 경우, 토큰의 가격을 자체 오라클에 의존해 측정하기 때문에 분산앱(dapp) 내 자산 가격과 더 큰 시장의 자산 가격에 차이가 생길 수 있어 차익거래 기회가 생긴다.

가장 안 좋은 사례는 공격자들이 플래시론을 이용해 차익거래 기회를 교묘히 활용하는 것이지만, 여전히 문제는 프로그램이 현실 세계에서 분초를 다투는 정보를 어떻게 다루느냐에 있다. 미국, 유럽을 비롯해 국제 감시기구들이 최근 들어 디파이에서 발생하는 공격, 사기, 조작의 심각성에 주목하기 시작했다.

미국 증권거래위원회(SEC)의 발레리 슈체파닉 디지털자산 수석 고문은 지난 9월18일 열린 패러렐 서밋(Parallel Summit)에서 “만약 당신이 코드 위에서 디파이 프로그램을 실제로 운용하게 되면 코드를 테스트하고 수정하는 과정뿐만 아니라 코드에 대한 상호 검토(peer review)도 하길 원할 것이다. 이 과정 없이 세상에 프로그램을 내어놓는 것은 위험한 일”이라고 지적했다.

블록체인 보안 업체 퀀트스탬프(Quantstamp)의 리처드 마 CEO는 지금까지 여러 번 증명됐듯이 코드 수정은 디파이에서 발생하는 공격을 방지하는 데 충분하지 않다며, “상품과 비즈니스 원리를 잘 이해하는 일이 단순히 코드를 검토하는 것보다 훨씬 중요하고 시간도 많이 걸린다”고 말했다.

또 다른 안전장치로 보험을 꼽을 수도 있다. 하지만 보험 역시 코드에 대한 검토에 검토를 거듭해야 하고, 혹시나 있을지 모를 허점을 찾아내고 플랫폼을 안전하게 만드는 일련의 지난한 과정을 거쳐야만 한다.

하지만 이러한 보호 장치들에 더 집중하지 않으면, “디파이 업계는 불충분한 자금세탁방지 규정과 보안으로 인해 계속해서 고통받을 것”이라고 언급한 사이퍼트레이스의 우울한 보고서가 현실이 될지도 모른다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지