[블록미디어 정아인 기자] 카카오 임직원 출신들이 주도해 만든 클레이튼 블록체인. 클레이튼 체인에 온보딩할 ‘스마트 컨트랙트’에 믹싱 기능이 숨어 있었다면 외부의 전문 보안 감사자(오딧터)는 왜 그걸 잡지 못했을까?
블록체인 전문가들은 “회사가 (믹싱을 하기로) 마음먹고 지갑을 (그런 식으로) 운용한다면 막을 장치가 없다”고 입을 모았다. 믹싱(Mixing)은 자금 세탁 등에 주로 쓰이는 기술이다. 미국은 믹싱 프로그램 사용자 뿐 아니라 개발자도 처발하고 있다.
클레이튼을 운영해온 크러스트의 사내 벤처(CIC) 크래커랩스는 믹싱 기법을 써서 클레이 코인을 팔아 왔다는 의혹에 대해 제대로된 해명을 내놓지 못하고 있다.
카카오에서 시작한 암호화폐 프로젝트팀이 불법적인 행동을 조직적으로 저질렀다는 오해(?)를 받을 판이다.
# ‘스테이클리’는 믹서인가?
문제의 크래커랩스는 스테이클리(stake.ly)라는 리퀴드 스테이킹 프로토콜을 만들었다. 코인을 예치했다가 꺼낼 수 있고, 예치에 따른 유동성 코인을 받을 수도 있다.
지난 8일 변창호 코인사관학교 운영자는 “크래커랩스가 관리하는 지갑을 따라가다보면 스테이클리에 코인을 스테이킹한 흔적이 없는데도, 코인을 받아 거래소로 옮긴 트랜잭션이 나온다”고 지적했다.
만약 해당 트랜잭션이 맞고, 클레이 코인이 이 같은 절차에 따라 대량 매도 됐다면 ‘스테이클리’는 사실상 믹서 역할을 한 셈이다. 코인이 들어온 경로는 없는데, 잘게 쪼개져 나간 경로만 있다. 전형적인 믹싱이다.
크래커랩스가 ‘의도적으로’ 혹은 ‘코딩 오류’로 이 같은 ‘비정상 트랜잭션’을 발생시킨 것인지 면밀한 기술적 해명이 필요해 보인다.
스테이클리는 오딧팅 전문 회사 해치랩스가 보안 감사를 했다. 해치랩스가 오딧팅을 하면서 이러한 오류를 찾아내지 못한 것인지도 의문이다.
# 해치랩스, 제대로 오딧팅을 한건가?
해치랩스는 2019년부터 클레이튼 메인넷 스마트 컨트랙트에 보안 감사를 제공했다. 해치랩스는 클레이튼을 최초 개발한 그라운드X에서 개념증명(POC)을 위해 자체 개발한 스마트 컨트랙트에 대한 보안 감사, 클레이튼 메인넷 위의 스마트 컨트랙트에 대한 보안 감사를 진행했다.
지난해 9월 22일 해치랩스는 깃허브에 스테이크닷리에 대한 오딧팅 보고서를 올렸다. 해당 문서에 스마트 컨트랙트 부분은 현재 비공개 상태이며, 믹서 기능에 대한 언급은 확인할 수 없다.
블록체인 전문가 A씨는 “스마트 컨트랙트 부분이 비공개 처리됐다. 오딧 이후에 스테이클리에서 임의로 특정 기능을 추가했을 수 있다”고 말했다.
# 진짜 믹서를 만들었나?
세 가지 가능성이 있다.
- 크래커랩스와 해치랩스가 모르는 버그가 있었다. 해치랩스가 그걸 발견을 하지 못했다.
- 해치랩스의 오딧팅 이후에 크래커랩스 또는 그 누군가가 믹서 기능을 추가했다.
- 스테이클리는 작년 4분기 출시된 프로토콜이다. FTX 사태로 디파이 생태계가 황폐화 됐을 때다. 그 시점에 이런 프로토콜을 만들었을 때는 처음부터 숨겨진 뜻이 있었다.
해치랩스 임종규 사업개발이사는 “보안감사를 하지만 온보딩하는 프로젝트에 대해서 하는 것이지, 클레이튼 자체를 보안감사한 건 아니다”고 말했다.
# 오딧팅의 한계와 기술력 부재?
블록체인 기술 전문가들은 “오딧팅을 아무리 하더라도 블록체인 회사가 마음만 먹으면 그걸 막을 장치가 없다”고 공통되게 주장했다. 큰 돈을 들여 오딧팅을 하는 게 의미가 없다는 뜻이기도 하다. 밖에 보여주기 위해 오딧팅을 하고, 일종의 통과의례로 치부하는 셈이다.
블록체인 기술 전문가 B씨는 “오딧 업체는 컨트랙트를 잡는데 그친다. 체인이 단독으로 지갑을 건드리는 건 잡기내기 어렵다”고 말했다.
오딧 업체의 수준과 능력도 문제다. 블록체인 개발자 C씨는 “오딧팅과 온체인 데이터 분석은 다른 분야다. 오딧팅을 하는 관련사는 수호, 해치랩스, 서틱(CertiK) 정도”라고 말했다. 경쟁이 없으니 실력이 올라가지 않는다.
블록체인 업계 관계자 A씨는 “보통 보안감사는 공개된 스마트 컨트랙트 래포를 가지고 스크립트 운영상의 결함, 보안 리스크 등을 본다. 믹싱을 감지하고 찾아내는 건 전혀 다른 영역”이라고 말했다.
# 클레이튼 재단의 상시 모니터링 무력화
문제적인 트랜잭션을 잡아내기 위해서는 제3의 모니터링이 있어야 할까?
클레이튼 관계자는 “클레이튼 재단의 경우 온체인 데이터 모니터링 업체는 따로 두고 있지는 않다. 기본적으로, 내부 모니터링을 위한 대시보드를 운영 중이다. 온체인 상의 주요 지표들은 상시 모니터링 하고 있다”고 말했다.
클래이튼 재단 서상민 이사장은 “크래커랩스의 행동을 사전이 전혀 알지 못했다”고 말했다. 상시 모니터링이 무력화된 것이다.
크래커랩스 팀은 “입장을 정리해 다음주 초에 입장을 밝히겠다”고 말했다.
# 클레이튼 GC들이 제대로된 역할을 할까?
클레이튼 재단은 토크노믹스를 재편하면서 거버넌스 카운슬(GC)에 권한을 강화키로 했다. 크래커랩스가 저지른 것과 같은 사고를 GC에서 사전에 적발하거나, 컨트롤하거나, 사후 조치를 내릴 수 있을까?
서상민 이사장은 새로운 토크노믹스를 설명하면서 GC 기술 분과 위원회를 강조했다. 그는 “기술적인 의사결정을 해야 할 일이 많다. 기술 부분에서 GC들이 힘들어하는 경우가 있다. 코어 기술 관련된 정확한 판단을 내리기에는 제한이 있다. 분과 위원회가 의사결정을 잘하는게 중요하다”고 말했다.
재단이 독자적으로 ‘기술적 판단’을 하려면 GC가 기술을 잘 알아야 한다.
GC 31개사 중 블록체인 기술 부문에 뛰어난 회사들은 어딜까? 클레이튼스퀘어에서 자체적으로 보안(Security) 부문으로 분류된 회사들은 아래와 같다.
퀀트스탬프(QuantStamp)
안랩 블록체인 컴퍼니(AhnLab Blockchain Companty)
베리체인(Verichains/VNG),
여기에 클레이튼 서비스를 개발해본 경험이 있는 오지스가 있다.
카카오, 그라운드X, 크러스트는 사실상 클레이튼 프로젝트를 던져버렸다. 재단이 뒷처리를 해야할 판이다. GC의 기술 기업들이 클레이튼을 되살릴 수 있는 기술적 기반을 제공할 것인지 지켜볼 일이다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사
해치랩스 임종규 이사 “클레이튼 온보딩 프로젝트 보안감사는 했다” …크래커랩스의 ‘리퀴드 스테이킹’ 오딧팅 논란