액시 인피니티 해킹된 돈 어떻게?‥버그 바운티 등 대책 필요
해커의 의아한 행보…“현금화 어려울 듯”
액시 인피니티 측 보상 약속했지만…장기적 대책 마련 시급
이 기사를 공유합니다
김세진
김세진 2022년 3월31일 07:47
NFT 활용 수입형 게임 엑시인피니티. 출처=스카이마비스
NFT 활용 수입형 게임 엑시인피니티. 출처=스카이마비스

최근 플레이투언(P2E) 게임 선두주자 액시 인피티니(Axie Infinity)에서 초대형 해킹 사건이 발생하자 프로젝트 내 취약한 보안체계에 대한 비판이 거세다.

해커가 빼돌린 자금을 중앙화 거래소(CEX)에 이체하는 등 초보적인 모습을 보였음에도 불구, 액시 인피니티는 이번 해킹 사실을 일주일이 지나서야 알아차렸다. 액시 인피니티는 피해를 입은 사용자에게 자금을 반환한다고 약속했지만, 업계에서는 이를 계기로 버그 바운티(bug bounty, 취약점 신고보상제도) 등 해킹을 해결하고 방지할 대책을 마련해야 한다는 목소리가 나온다. 

엑시 인피니티 개발사 스카이 마비스는 지난 29일(현지시간) 액시 인피니티 내 사이드체인인 로닌(Ronin)이 익스플로잇(취약점) 공격을 받아 6억2500만달러 상당의 가상자산이 유출된 사실을 1주일만에 발견했다. 이더스캔에 따르면, 해커는 지난 23일 두 번에 걸쳐 익스플로잇 공격을 감행, 로닌에서 17만3600ETH(이더리움)와 2550만USDC(서클 스테이블 코인)를 탈취했다. 

이때 업계에서 주목한 점은 해커의 이후 행보다. 통상 대형 자금을 탈취한 해커는 토르나도캐시, 스틸엑스 등 믹서와 스왑 프로그램, 탈중앙화 거래소(DEX) 등을 활용, 복잡한 자금세탁 경로를 거쳐 현금화를 한다.

CEX는 출금 시 신원확인(KYC) 시스템을 거치고 불법거래에 연루된 자금은 동결 조치를 취할 수 있는 탓이다. 하지만 이번 해커는 빼돌린 자금을 후오비, 에프티엑스(FTX), 크립토닷컴 등 CEX에 이체한 것으로 알려졌다.

이런 해커의 의아한 행보에 업계에서는 이를 초보적인 실수로 보고 있다. 또 해커가 자금을 현금화하기 어려울 것으로 전망한다. 블록체인 분석 기업 엘립틱의 톰 로빈슨 공동창업자는 코인데스크US에 “대규모 절도 자금이 거래소로 직접 유입되는 것을 보는 것은 이례적인 일”이라면서 “해킹 때 검증 노드의 개인 키를 얻는 과정에서 보여준 정교함과 달리 놀라울 정도로 순진하다”고 평했다

이에 업계에서는 이번 해킹 자금을 반환받고, 재발을 방지하기 위해 버그 바운티 등 시스템을 마련해야 한다는 대안이 나오고 있다.

버그 바운티는 일종의 화이트 해커 지원 제도로 서비스를 해킹해 취약점을 찾은 해커에게 보상을 제공하는 제도다. 조셉 드롱(Joseph Delong) 스시스왑 최고기술경영자(CTO)는 “해커로부터 자금을 되찾으려면 해커에게 이뮨파이(Immunefi) 등과 같은 버그 바운티 플랫폼으로 선택권을 제공하는 것도 유용한 방법이 될 수 있다”고 말했다.

이번 사건으로 대체불가능토큰(NFT), 메타버스와 맞물려 P2E 시장이 폭발적으로 성장하고 있지만, 이에 비해 보안은 체질개선이 필요하다는 지적에도 힘이 실릴 전망이다.

최근 게임 포트나이츠를 제작한 에픽게임즈(Epic Games)의 팀 스위니 최고경영자(CEO)는 “NFT가 분산화된 구조를 표방하지만 보안 구조는 취약하다”고 말했고, 필 스펜서 마이크로소프트(MS) 게임총괄은 “게임 내 수익창출 구조도 개발자를 위한 현금 획득 기회일 뿐”이라는 우려를 표명했다.

액시 인피니티는 피해를 입은 이용자에게 보상 조치를 취하겠다고 밝혔다. 알렉산더 레오나드 라슨(Aleksander Leonard Larsen) 스카이마비스 최고운영책임자(COO)는 30일 블룸버그에 "가능한 한 빨리 이용자에게 상환하기 위해 최선을 다하고 있다"면서 "우리는 여전히 솔루션을 논의하고 개발 중이다"라고 전했다. 

제보, 보도자료는 contact@coindeskkorea.com



관련기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 3
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
김 걸 2022-03-31 13:02:06
투자자 입장에선 돈만 해결해주면 다시 올거임.

쉴드 2022-03-31 12:36:30
해킹은 보안안전 운영의 기본 과정이지만 믿은만큼 손실 본 투자자들한테는 배상 들어가는게 응당이라고 생각해

Kim Eileen 2022-03-31 11:09:52
게임 플랫폼 보안 조치가 제도적이나 기술적으로 아직 미비하네요.