하이퍼브릿지 취약점으로 이더리움에 위조 DOT 토큰 10억 개 생성
공격자가 폴카닷(Polkadot)과 이더리움(Ethereum) 간 크로스체인 브리지 계약인 하이퍼브릿지(Hyperbridge)의 결함을 악용해 위조된 DOT 토큰 10억 개를 발행하고, 237,000달러 상당의 수익을 챙겼습니다. 이번 사고는 폴카닷 메인넷에는 영향을 주지 않았지만, 주요 암호화폐 거래소들이 일시적인 제한 조치를 시행했습니다.
취약점 악용 방식
게이트웨이 스마트 계약의 버그로 인해 공격자는 내부 메시지를 위조할 수 있었고, 이를 통해 이더리움 기반 DOT 토큰의 관리자 권한을 탈취했습니다. 권한을 확보한 해커는 폴카닷에서 전송된 자산처럼 보이도록 설계된 위조 토큰 10억 개를 발행했으며, 즉시 디센트럴라이즈드 거래소(DEX)에 대량 매도해 가격을 1.22달러에서 거의 0에 가깝게 폭락시켰습니다.
온체인 렌즈(Onchain Lens) 분석 결과, 공격 순서는 다음과 같습니다: 먼저 스마트 계약 소유권을 공격자의 주소로 이전한 후, 대량의 토큰을 발행하고 시장에서 현금화했습니다. 이는 교차 체인 메시지 검증이 부족해 발생하는 전형적인 DeFi 보안 사고입니다.
시장 및 사용자 피해
폴카닷 메인체인은 정상 작동했으나, 시장 불안 심리로 인해 DOT 가격은 4% 하락하며 1.22달러에서 1.18달러로 떨어졌습니다. 국내 거래소 업비트와 빗썸은 예방 차원에서 DOT 입출금을 일시 중단했습니다. 현재 하이퍼브릿지는 완전히 비활성화되었으며, 폴카닷 팀은 외부 보안 전문가들과 함께 조사를 진행 중입니다.
공격자 수익: 약 237,000달러
발행된 토큰: 10억 DOT
DOT 가격 하락: 4%
영향받은 거래소: 업비트, 빗썸
크로스체인 브리지 보안 현황
하이퍼브릿지 같은 브리지는 고립된 블록체인 간 자산 이동을 가능하게 함으로써 상호 운용성을 해결합니다. 그러나 교차 체인 거래 검증의 복잡성 때문에 브리지는 반복적으로 공격 대상이 됩니다. 세르티크(CertiK)에 따르면, 이러한 취약점은 주로 잘못된 메시지 처리에서 비롯되며, 무단 토큰 발행으로 이어질 수 있습니다.
최근 몇 년간 유사 사건들이 다수 발생했습니다. 2022년 로닌 브리지에서는 6억 2500만 달러가 유출되었고, 웜홀(Wormhole)은 3억 2500만 달러 규모의 침해를 당했습니다. 이러한 사건들은 DeFi에 대한 신뢰를 약화시키며, 멀티시그(Multi-sig) 시스템과 제로노울리지 증명(ZKP) 등 더 안전한 프로토콜 도입을 촉진하고 있습니다.
핵심 요약
- 이번 공격은 하이퍼브릿지를 통한 이더리움 기반 DOT에 한정되며, 폴카닷 메인넷은 안전합니다.
- 세르티크 감사팀은 시스템 메시지 위조가 근본 원인임을 확인했습니다.
- 공격자 수익 237,000달러는 국지적 취약점이라도 큰 위험을 초래할 수 있음을 보여줍니다.
- 업비트와 빗썸은 사용자 보호를 위해 입출금 제한 조치를 시행했습니다.
- 이번 사고는 브리지 보안 강화를 위한 산업 전반의 노력을 가속화할 것입니다.
업계 영향 및 전망
이번 사건은 폴카닷과 이더리움 같은 생태계를 연결하는 브리지에 대한 철저한 보안 감사의 중요성을 다시 한번 부각시켰습니다. 개발자들은 이제 분산형 검증자와 토큰 발행 한도를 우선 과제로 삼고 있습니다. 사용자 입장에서는 공식 발표를 주시하고, 검증되지 않은 브리징 솔루션은 피하는 것이 중요합니다.
장기적으로는 이러한 침해 사고가 오히려 혁신을 촉진합니다. 폴카닷은 XCM 프로토콜을 강화해 더 안전한 크로스체인 커뮤니케이션을 구현하고 있습니다. 2021년 이후 브리지 관련 누적 피해액은 20억 달러를 넘었으며, 이에 따라 각 프로토콜은 TVL의 1~2%를 보안 투자에 할당하는 추세입니다.
— Editorial Team
아직 댓글이 없습니다.