NFT 활용 수입형 게임 엑시인피니티. 출처=스카이마비스
NFT 활용 수입형 게임 엑시인피니티. 출처=스카이마비스

최근 플레이투언(P2E) 게임 선두주자 액시 인피티니(Axie Infinity)에서 초대형 해킹 사건이 발생하자 프로젝트 내 취약한 보안체계에 대한 비판이 거세다.

해커가 빼돌린 자금을 중앙화 거래소(CEX)에 이체하는 등 초보적인 모습을 보였음에도 불구, 액시 인피니티는 이번 해킹 사실을 일주일이 지나서야 알아차렸다. 액시 인피니티는 피해를 입은 사용자에게 자금을 반환한다고 약속했지만, 업계에서는 이를 계기로 버그 바운티(bug bounty, 취약점 신고보상제도) 등 해킹을 해결하고 방지할 대책을 마련해야 한다는 목소리가 나온다. 

엑시 인피니티 개발사 스카이 마비스는 지난 29일(현지시간) 액시 인피니티 내 사이드체인인 로닌(Ronin)이 익스플로잇(취약점) 공격을 받아 6억2500만달러 상당의 가상자산이 유출된 사실을 1주일만에 발견했다. 이더스캔에 따르면, 해커는 지난 23일 두 번에 걸쳐 익스플로잇 공격을 감행, 로닌에서 17만3600ETH(이더리움)와 2550만USDC(서클 스테이블 코인)를 탈취했다. 

이때 업계에서 주목한 점은 해커의 이후 행보다. 통상 대형 자금을 탈취한 해커는 토르나도캐시, 스틸엑스 등 믹서와 스왑 프로그램, 탈중앙화 거래소(DEX) 등을 활용, 복잡한 자금세탁 경로를 거쳐 현금화를 한다.

CEX는 출금 시 신원확인(KYC) 시스템을 거치고 불법거래에 연루된 자금은 동결 조치를 취할 수 있는 탓이다. 하지만 이번 해커는 빼돌린 자금을 후오비, 에프티엑스(FTX), 크립토닷컴 등 CEX에 이체한 것으로 알려졌다.

이런 해커의 의아한 행보에 업계에서는 이를 초보적인 실수로 보고 있다. 또 해커가 자금을 현금화하기 어려울 것으로 전망한다. 블록체인 분석 기업 엘립틱의 톰 로빈슨 공동창업자는 코인데스크US에 “대규모 절도 자금이 거래소로 직접 유입되는 것을 보는 것은 이례적인 일”이라면서 “해킹 때 검증 노드의 개인 키를 얻는 과정에서 보여준 정교함과 달리 놀라울 정도로 순진하다”고 평했다

이에 업계에서는 이번 해킹 자금을 반환받고, 재발을 방지하기 위해 버그 바운티 등 시스템을 마련해야 한다는 대안이 나오고 있다.

버그 바운티는 일종의 화이트 해커 지원 제도로 서비스를 해킹해 취약점을 찾은 해커에게 보상을 제공하는 제도다. 조셉 드롱(Joseph Delong) 스시스왑 최고기술경영자(CTO)는 “해커로부터 자금을 되찾으려면 해커에게 이뮨파이(Immunefi) 등과 같은 버그 바운티 플랫폼으로 선택권을 제공하는 것도 유용한 방법이 될 수 있다”고 말했다.

이번 사건으로 대체불가능토큰(NFT), 메타버스와 맞물려 P2E 시장이 폭발적으로 성장하고 있지만, 이에 비해 보안은 체질개선이 필요하다는 지적에도 힘이 실릴 전망이다.

최근 게임 포트나이츠를 제작한 에픽게임즈(Epic Games)의 팀 스위니 최고경영자(CEO)는 “NFT가 분산화된 구조를 표방하지만 보안 구조는 취약하다”고 말했고, 필 스펜서 마이크로소프트(MS) 게임총괄은 “게임 내 수익창출 구조도 개발자를 위한 현금 획득 기회일 뿐”이라는 우려를 표명했다.

액시 인피니티는 피해를 입은 이용자에게 보상 조치를 취하겠다고 밝혔다. 알렉산더 레오나드 라슨(Aleksander Leonard Larsen) 스카이마비스 최고운영책임자(COO)는 30일 블룸버그에 "가능한 한 빨리 이용자에게 상환하기 위해 최선을 다하고 있다"면서 "우리는 여전히 솔루션을 논의하고 개발 중이다"라고 전했다. 

김세진 객원기자. 2018년 말부터 블록체인∙암호화폐 금융(CeFi, DeFi) 시장과 연을 맺고 있습니다. 돈(Money)이 디지털로 변하는 과정을 글로 논합니다. 소량의 비트코인(BTC), 이더리움(ETH) 등을 보유하고 있습니다.

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지