가상자산 안전 취약점 부각
사건 발생 6일 뒤에야 발견
29일(현지시간) CNBC와 블룸버그통신 등에 따르면 액시 인피니티를 구동하는 블록체인 네트워크인 로닌 네트워크는 “보안 침입 사고로 지난 23일 이더리움 17만3600개와 2550만 개의 스테이블코인을 탈취당했다는 사실을 파악했다”고 밝혔다. 총액으로 따지면 6억1500만 달러(약 7440억 원)어치의 코인이 해킹당한 것이다.
액시 인피니티는 이용자가 ‘액시즈(Axies)’라고 불리는 대체불가능토큰(NFT) 형태의 디지털 애완동물을 수집해 다른 액시즈와 싸우고 양육하는 게임이다. 이용자는 이 액시즈를 다른 사람에게 팔아 돈을 벌 수 있다. 이 때문에 액시 인피니티는 ‘돈 버는 게임’(P2E·Play to Earn) 선두주자로 통하며 이 게임 개발사인 스카이메이비스는 실리콘밸리 유명 벤처캐피탈리스트 앤더슨 호로위츠가 주도한 펀딩에서 1억5200만 달러가량의 투자를 받기도 했다.
이번 해킹 사고는 액시 인피니티와 이더리움 등 다른 블록체인을 연결해주는 이른바 ‘로닌 브리지’에서 발생했다. 해커들은 거래 인증에 쓰이는 프라이빗 키를 해킹해 두 차례에 걸쳐 이들 가상화폐를 로닌 브리지에서 인출했다.
로닌 브리지는 이더리움과 다른 블록체인을 연결해 가상자산을 보낼 수 있는 ‘크로스체인 브리지’다. 이용자는 로닌 브리지를 이용해 이더리움이나 스테이블코인 등을 예치한 뒤 게임용 통화나 NFT를 구매해 게임을 할 수 있다. 게임이 끝나면 이를 다시 팔아 돈을 인출할 수 있다.
해킹 사실은 한 이용자가 자신이 보유한 5000이더리움을 인출할 수 없다고 신고하자 이를 조사하는 과정에서 뒤늦게 밝혀졌다. 즉, 사건 발생 6일이나 지날 때까지 운영자 측에서 이를 감지하지 못했다는 점에서 이용자들의 우려를 키웠다.
보안 서비스 플랫폼 이뮤니파이의 에이드리언 헷먼은 “브리지가 여전히 개발 단계의 영역으로, 아직 업계에서 최선의 사용 관행을 마련하지 못한 상황”이라면서 “브리지를 제대로 구동하기는 매우 어렵고 해킹 공격 대상은 일반 디파이(DeFi·탈중앙금융) 프로젝트보다 훨씬 넓다”고 지적했다.
스카이메이비스는 “경찰과 가상화폐 범죄분석가, 투자자들과 협력해 해킹당한 모든 자금을 복구할 것이며 이용자들의 자금에 손실이 발생하지 않도록 하겠다”고 약속했다.