[블록미디어 정아인 기자] “블록체인 프로젝트가 지갑을 뒤에서 마음대로 운용해도 보안감사로 잡아낼 수 없다.”
해치랩스가 크래커랩스의 스테이클리 스마트 컨트랙트를 오딧팅(보안감사)했음에도 불구하고 복잡하게 처리한 트랜잭션을 통해 클레이를 매각해 논란이다.
블록체인 기술 전문가들는 “해치랩스가 재단의 의중을 알 수 없다. 오딧업체는 스마트 컨트랙트만 잡는다. 재단이 마음 먹고 지갑을 뒤에서 운용하면 알 수 없다”고 설명했다.
그렇다면 오딧 업체를 고용해 사전 보안감사를 진행하는 것이 무슨 의미가 있나?
# 블록체인 오딧팅(보안감사)의 한계
블록체인 오딧팅은 사전에 스마트 컨트랙트 코드 분석을 통해 시스템의 허점을 파악하고 애플리케이션의 취약점을 제거하는 작업이다.
블록체인 회사들은 오딧팅을 통해 데이터의 신뢰성, 투명성을 외부에 홍보할 수 있고, 자체 인력을 고용해서 모니터링하는 비용을 절감할 수 있다.
체인 회사들은 오딧팅 업체를 고용해 ‘신뢰성 확보’와 ‘비용 절감’이라는 두 마리 토끼를 잡는다. 하지만 오딧팅은 단순히 ‘스마트 컨트랙트 코드 분석’에서 그친다. 체인 내 지갑을 통한 코인 이동에 대해서는 모니터링하고 있지 않다.
블록체인 기술 전문가는 ’전송’과 ‘스마트 컨트랙트’를 구별해야 한다고 강조했다. “지갑을 통한 자산 운용은 전송만으로도 가능하다. 지갑의 주인은 누구인지 알 수 없다. 또한 지갑은 무수히 생성될 수 있다”고 설명했다.
# 해치랩스의 계속된 오딧팅 논란
오딧팅에 분명한 한계가 있다는 것은 해치랩스의 과거 오딧팅 사례에서도 발견할 수 있다.
해치랩스의 보안 감사 문제는 2020년부터 불거져왔다. 디지털 자산시장 정보 채널 ‘변창호 코인사관학교’를 관리하는 변창호 운영자는 해치랩스가 보안 감사를 했으나 해킹과 플래시론 공격을 받은 회사들을 다음과 같이 정리했다.
Harvest Finance, Pickle Finance, Furucombo, PancakeBunny, Merlin Labs, Belt
해치랩스는 이들 프로젝트의 보안감사 여부에 대해 아무런 답변을 내놓지 않고 있다. 이들 프로젝트는 오딧팅을 받았으나 취약점이 있었던 것으로 보인다. 오딧팅을 했다는 것이 무결성을 증명하는 것은 아니다.
오딧 과정에서 취약점이 충분히 걸러지지 않았는지, 공격자가 오딧터보다 더 우수했는지, 프로젝트가 임의로 어떤 의도를 가지고 오딧 이후에 취약점을 노출했는지 불분명하다.
# 오딧업체와 일반인이 생각하는 ‘믹싱’ 정의의 간극
크래커랩스가 스테이클리를 이용해 복잡한 트랜잭션을 만들어 클레이 매각 사실을 은폐하려 했다는 의혹이 불거지자, 해치랩스는 “스테이클리를 믹서로 보거나, 이를 믹싱으로 볼 수 없다”고 말했다.
해치랩스는 24건의 ‘특이한 거래’를 별도로 조사했다. 해치랩스는 의도적으로 매우 복잡한 트랜잭션을 한 것은 맞지만, “믹싱 행위는 없었다”고 주장했다. 업계에 통용되는 ‘믹서의 정의’에 따르면 크래커의 행동이 믹싱 행위는 아니기 때문이다.
그러나 일반인의 시각에서는 코드를 통해 자금 출처를 은폐하던, 여러 번의 지갑 전송을 통해 자금 출처를 은폐하던 동일하게 ‘믹싱’이라 생각하게 된다.
# 해치랩스는 믹싱 분석을 제대로 하지 않았다?
또한 변창호 운영자는 “해치랩스의 믹싱 분석은 범위가 틀렸다”고 주장한다.
그는 “해치랩스 측은 정작 문제가 된 컨트랙 부분은 단순 전송인 것처럼 어물쩍 넘어가고 분석을 전혀 하지 않았다. 이후 의미없는 Allocate함수로 지갑쪼개고 합치기를 반복한 부분도 설명이 되지 않았다”고 말했다.
이에 관련해 해치랩스는 현재까지 적절한 답을 내놓지 않고 있다.
# 이해관계 충돌
블록체인 재단들은 오딧 업체에게 보안감사를 맡기고 체인의 스마트 컨트랙트에 문제가 없다고 홍보한다. 그러나 실상 재단이 마음먹고 자금 세탁을 진행해도 오딧팅만으로는 그 의도를 파악하지 못한다.
오딧 업체들도 의도까지는 모른다고 한다. 오딧의 영역이 아니라고 한다.
코드 분석을 통한 단순 보안감사는 일종의 면죄부로 전락했다는 비판이 나온다.
비즈니스와 상호 투자 등으로 이해관계가 맞물린 프로젝트, 재단, 개발사와 오딧 회사가 형식적인 보안감사로 커뮤니티 발전을 저해하고 있는 것은 아닌지 반성하지 않는다면 제2의 크래커가 나오지 말라는 법이 없다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사