[블록미디어 정아인 기자] 카카오 출신 임직원들이 만든 클레이튼에 대한 ‘믹서’ 사용 논란이 커지고 있다. 크래커랩스가 믹싱 기법을 써서 대량의 클레이를 매각했다는 의혹 때문이다.
# 믹서 논란의 시작
크래커랩스(이하 크래커)는 클레이튼 거버넌스 카운슬(GC) 중 하나이면서 클레이튼을 운영한 크러스트 사내 벤처(CIC)로 알려졌다. 사실상 내부자 거래라는 지적이 나온다.
크래커는 자신들이 만든 스테이클리(Stake.ly)를 이용, 복잡한 트랜잭션을 만들어 클레이 매각 사실을 은폐하려 했다.
논란이 커지자 스테이클리에 대한 보안감사(오딧)를 맡았던 해치랩스는 14일 “24 건의 ‘특이한 거래’ 사실을 확인했다”고 밝혔다.
해치랩스는 그러나 믹서(mixer)에 대한 업계의 통상적인 정의로 볼 때, 스테이클리를 믹서로 보거나, 크래커의 행동을 믹서 사용이라고 볼 수 없다고 주장했다.
믹서는 코인 이동 경로를 알 수 없도록 하는 기법으로, 자금세탁, 범죄자금 은닉 등에 사용된다. 미국에서는 믹서 개발 뿐 아니라 사용도 처벌한 사례가 있다.
# 보안감사
해치랩스는 “의혹이 제기된 스마트 컨트랙트는 보안감사를 하지 않았던 트랜잭션”이라고 밝혔다. 자신들이 수행한 스테이클리 보안감사 자체는 “문제 없다”고 입장을 밝혔다.
해치랩스는 2022년 8월 16일 크래커랩스가 만든 리퀴드 스테이킹인 스테이클리 보안감사에 착수해 2022년 9월 20일 최종 보고서를 전달했다.
“크래커가 클레이를 매도한 트랜잭션에서 스테이클리 서비스는 정상동작했다. 오작동, 버그, 믹싱 등의 보안적 결함은 존재하지 않았다”는 것이 해치랩스의 입장이다. 다만, 보안감사를 하지 않았던 스마트 컨트랙트에서 의혹이 제기됐다고 덧붙였다.
오딧 대상이 아니었던 다른 스마트 컨트랙트가 문제의 거래에 사용됐다는 뜻이다.
# 24건의 특이한 거래
해치랩스는 “크래커가 클레이를 매도한 트랜잭션에서 활용된 스마트 컨트랙트 중에서 해치랩스가 보안감사한 범위가 아닌 스마트 컨트랙트들이 있었다”고 밝혔다.
스테이클리 홈페이지를 통하지 않은 특이한 트랜잭션은 총24건이다. 해치랩스는 “특이한 트랙잭션 24건은 모두 해치랩스의 오딧팅과 별개로 스마트 컨트랙트의 주소가 생성되어 접근할 수 있게 된 것”이라고 설명했다.
스테이클리 홈페이지를 통한 일반적인 스테이킹, 언스테이킹 절차를 거치지 않았다는 뜻이다.
# 그러나 믹싱 행위는 아니다?
해치랩스는 24건의 ‘특인한 거래’를 별도로 조사했다. 해치랩스는 의도적으로 매우 복잡한 트랜잭션을 한 것은 맞지만, “믹싱 행위는 없었다”고 주장했다.
업계에 통용되는 ‘믹서의 정의’에 따르면 크래커의 행동이 믹싱 행위는 아니라는 것.(아래)
- 한 계정(A)에서 스테이킹을 한 뒤 스테이킹시 제공되는 토큰이 다른 계정으로 발급(B)됐는가? (자금 흐름을 알지 못하게 할 수 있는가)
- 의혹이 제기된 현금화된 스테이킹시 제공되는 토큰은 스테이킹하는 트랜잭션 없이 무단으로 발행됐나?
# 문제점 1 : 의도성 판단
해치랩스는 크래커가 일반인이 추적하기 어려운 방법을 쓴 것은 맞다고 인정했다. 대표적으로 스테이킹을 푸는 방식(언스테이킹 unstake)을 통해 코인을 유동화한 것이 아니라 DEX(탈중앙거래소)로 옮겨 거래 경로에 혼선을 일으켰다.
분명한 의도성이 엿보이는 행위다. 해치랩스는 이러한 의도성은 별도로 판단하지 않았다. 크래커가 쓴 것과 똑같은 방식으로 누군가가 스테이킹 후 덱스로 코인을 이동시켜 유동화를 하면 ‘일반인’은 그 경로를 알 수 없다.
스케이클리를 이렇게 변칙적으로 이용할 수 있음을 해치랩스가 사전에 파악했는지, 그럼에도 보안감사를 통과하고, 이것이 믹서가 아니라고 주장하는 것이 합리적인지 의문이다.
# 문제점 2 : 난이도 판단
해치랩스가 쓴 믹서의 정의 자체가 타당한 것인가도 논란이다. 트랜잭션의 해석 난이도는 제외됐기 때문이다.
해치랩스는 “24개 트랜잭션을 파악하는데 1~2 시간이면 충분했다. 발표 내용을 정리하는데 시간이 더 걸렸다”고 말했다. 일반인들에게는 어렵지만, 전문가들에게는 쉬웠기 때문에 믹싱이 아니라는 것으로 오해될 소지가 있다.
해치랩스 같은 전문가 집단 입장에서 ‘쉽다’는 트랜잭션과 일반인들이 파악하기 ‘어렵다’는 트랜잭션의 간극이 불분명하다. 얼마나 어려워야 믹싱 기법을 쓴 것이고, 얼마나 쉬워야 믹싱 기법이 아닌가.
해치랩스는 “약간의 기술적 지식만 있어도 어렵지 않게 파악이 가능하다”고 모순적인 대답을 내놨다.
말맞추기 의혹도 있다. 믹싱 논란은 지난 8일 제기됐다. 해치랩스의 해명은 14일 나왔다. 그 사이 크래커는 블록미디어에 별도의 해명을 하면서 그동안 공개하지 않았던 ‘스테이클리 오픈 소스’를 해명문과 함께 보내왔다.
해치랩스는 오딧 당시 살펴본 최초의 오픈 소스와 크래커가 이번에 공개한 오픈 소스를 비교하지도 않았다. 오딧과 해명 사이에 ‘블랙아웃’ 기간 동안 크래커 팀이 ‘특이한 거래’를 위해 코드를 변경했는지도 밝혀야 할 부분이다.
# 문제점 3 : 이해상충
해치랩스는 클레이튼에 대한 오디팅 업체다. ‘관계사’ 크래커의 스테이클리도 보안감사를 했다. 스테이클리가 믹싱이 아니라는 해치랩스의 주장은 이 같은 거래 관계로 볼 때 이해상충 가능성을 배제할 수 없다.
해치랩스가 오딧 과정에서 믹싱 여부, 믹싱에 준하는 변칙 사용 가능성을 가려내지 못한 것은 해치랩스 입장에서도 치명적이지만, 클레이튼과 크래커 입장에서도 치명적이다. 따라서 클레이튼, 크래커, 해치랩스의 이해가 일치한다.
해치랩스를 제외한 독립된 제3의 오디팅 업체를 통해 믹싱 의도성, 난이도 등에 대한 재검증이 불가피할 것으로 보인다.
크래커랩스가 클레이튼의 GC라는 점에서 향후 클레이튼 생태계에 미칠 영향이 막대하기 때문이다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사