공유하기

닫기

안전하다더니…방코르 해킹에 "DEX 보안 뚫렸나" 시끌

탈중앙화 거래소 방코르, 150억원치 해킹 피해
DEX 안전성 놓고 갑론을박…업계 "DEX문제 아닐수도
"유동성 공급용 방코르 측 계정 물량이 스마트콘트랙트 조정 과정에서 도난" 관측

  • 신은동,조현정 기자
  • 2018-07-10 15:40:44
안전하다더니…방코르 해킹에 'DEX 보안 뚫렸나' 시끌
오프라인 상태로 전환된 방코르(Bancor) 홈페이지

탈중앙화 암호화폐 거래소(DEX)로 알려진 방코르(Bancor)도 해커의 제물로 전락하면서 암호화폐 거래소의 보안 문제가 다시 화두에 올랐다. 기존 중앙화된 거래소와 달리 개인 지갑의 개인키를 이용자가 직접 관리해 보안 측면에서 대안적 거래소로 주목받던 DEX의 보안 체계가 뚫리면서 이번 해킹의 배경에 업계와 투자자의 관심이 쏠리고 있다.

업계에서는 지난 9일(현지시각) 발생한 해킹이 DEX 자체에서 발생한 문제가 아니라 방코르 측 계좌가 스마트콘트렉트 조정 과정에서 도난당했을 가능성에 무게를 싣고 있다. 탈중앙화 거래소의 거래는 개인 지갑을 통해 이뤄진다. 중앙화된 거래소가 이용자 지갑의 개인키를 대신 보유하고 있는 것과 달리 이용자 개인이 직접 지갑의 암호화된 비밀번호를 가지고 있어 보안에 안전하다고 알려져 있다.

탈중앙화 암호화폐 거래 플랫폼인 카이버네트워크의 김흥범 매니저는 “DEX 자체는 해킹 될 수가 없다”고 했다. 그는 “방코르의 경우 회원 자산이 관련된 것이 아니라 회사 법인의 계좌가 도난 당한 것으로 추정된다”며 “회사 보유분의 토큰이 들어있는 저장고에서 물량이 탈취됐을 것”이라고 내다봤다. 그러면서 △한 계좌에서 150억원 상당의 거대 보유분이 탈취된 점, △이용자의 계좌가 아니라는 점을 이유로 들었다. 실제 방코르 측은 트위터 등 공식 채널을 통해 “이번 해킹은 회원들의 계정과는 관련이 없다”는 점을 거듭 강조하고 있다. 더불어 보안 사고의 직접적인 계기로는 “스마트 콘트랙트를 기능을 업데이트한 이후 보안 침입이 발생했다”고만 설명하고 있다.

방코 측이 탈중앙 플랫폼 상 계정에 대량의 암호화폐를 보유한 이유를 두고서는 네트워크에 유동성을 공급하기 위한 물량일 수 있다는 관측이 나온다. 일부 탈중앙화 거래 플랫폼의 경우 네트워크에서 거래가 원활히 성사될 수 있도록 이용자들의 매도 매수 주문을 처리해주면서 매수·매도 가격 차익으로 수익을 얻는 유동성 공급자(LP·Liquidity Provider)들을 두고 있다. 예를 들어 이더를 팔고 비트를 얻고 싶어하는 주문이 있을 때 이와 반대 수요를 지닌 상대방이 나타나지 않을 경우 이 DEX는 거래가 활발해지기 어렵다. 이에 카이버 네트워크의 경우 리저브 매니저라는 유동성 공급자를 두는 방식으로 거래를 원활히 처리하는 시스템을 운용하고 있으며 반대로 에어스왑은 당사자들의 매칭이 일어날 때까지 대기하는 완전 P2P 방식으로 운용한다. 방코르의 경우 백서에서 “기술적인 방식으로 수요 불일치를 해결한다”고 백서에서 밝히고 있지만 일부 계정에서 LP역할을 하는 것으로 업계는 파악하고 있다. 방코르가 유동성 공급을 위해 보유한 물량이 스마트콘트랙트 조정 과정에서 개인키 노출 또는 스마트 콘트랙트 설정 이상 등으로 외부에 흘러갔을 가능성이 있다는 게 업계의 관측이다.

기태현 BCS 대표 겸 영남이공대 사이버보안학과 겸임교수는 “탈중앙화 거래라 하더라도 결국 온라인상에서 정보가 유통되는 형태라 DEX의 정보 보호도 결국 통상적인 데이터 관리의 범주”라며 “이같은 측면에서 탈중앙화 거래소가 분산노드 중심으로 운용되더라도 하드월렛 같은 형태로 보관하지 않는 이상 암호화폐 소실에서 완전히 자유롭지 못하다”고 설명했다.

안전하다더니…방코르 해킹에 'DEX 보안 뚫렸나' 시끌
/사진=방코르 공식 트위터 캡쳐

한편 방코르는 ERC-20 기반의 이더리움 토큰을 암호화폐 간(Crypto-to-crypto) 에 거래할 수 있는 DEX다. 스톰, 오미세고 등 이더리움 기반의 토큰들을 취급, 자체 발행 토큰인 BNT를 기축화폐로 이더리움 기반 토큰들과의 교환행위를 지원한다. 해킹 발생 전 방코르에서는 방코르, 이더리움, 메인프레임(MFT), 스티펜드(SPD), 킨(KIN), 디센트벳(DBET), 백(BAX), 다이(DAI), 토큰카드(TKN), 베이직어텐션(BAT) 등 10종이 활발히 거래됐다. 이더리움을 제외하면 대부분 기반이 약한 비주류 토큰들이다.

방코르는 지난 9일(현지시각) 해킹을 당해 150억원(1,350만 달러)의 피해를 입었다. 해킹당한 물량은 방코르 토큰(BNT) 32만개, 펀디엑스(NPXS) 2억2,935만6,645개, 이더리움(ETH) 2만4,984개다. 방코르는 BNT 토큰은 즉각 동결조치를 취했으며, 나머지 토큰은 조치 중이다. 다만 방코르는 이번 해킹은 사용자의 지갑에서 이뤄진 것이 아니라 새 스마트 컨트랙트를 실험하던 지갑에서 발생한 것이라 주장하고 있다. 방코는 이용자 자산의 문제는 없다면서 각 국 거래소들에 도움을 요청했다고 밝혔다. 현재 방코르의 홈페이지는 오프라인으로 전환돼 서비스 이용이 불가능하다.

/신은동기자 edshin@decenter.com 조현정기자 chohj@


<저작권자 ⓒ 디센터, 무단 전재 및 재배포 금지> XC
이 기사를 공유하세요.

이메일 보내기

보내는 사람

수신 메일 주소

※ 여러명에게 보낼 경우 ‘,’로 구분하세요

메일 제목

전송 취소

메일이 정상적으로 발송되었습니다
이용해 주셔서 감사합니다.

닫기