디파이 프로토콜 오아시스 네트워크(Oasis Network)가 1년 전 웜홀 공격을 당했던 점프 크립토가 자금 일부를 회수하는 데 도움을 제공했다고 밝혔다.
오아시스는 24일 성명을 통해, 잉글랜드와 웨일즈 고등법원의 명령에 따라 이같은 조치를 취했다고 밝혔다. 법원 결정에 따라 2022년 2월 3억 달러 규모의 웜홀 공격과 관련된 암호화폐 지갑에서 특정 자산을 회수할 수 있게 했다는 것이다.
오아시스는 화이트햇(Whitehat) 그룹이 관리자 다중서명(multi-sig) 설계에 알려지지 않은 취약점이 있음을 알려왔다고 밝혔다.
“잠재적 공격이 발생할 경우 이용자 자산을 보호하려는 의도로만 액세스 권한이 존재했다. 이전까지 사용자 자산에 대한 무단 액세스는 한 번도 없었다.”
점프 크립토는 보도 시점에 이번 사건에 대한 성명을 아직 발표하지 않았다.
오아시스가 해킹을 다시 해킹한 방법
오아시스가 이같은 조치를 취했다는 소식은 블록웍스의 단독 보도로 가장 먼저 공개됐다. 기사는 탈취당한 자금 중 2억2500만달러가 회수되었다고 전했다.
블록웍스는 해커가 탈취한 자금을 오아시스 금고에 보관하고 다이(DAI)를 빌린 다음, 빌린 DAI로 rETH와 wstETH에 레버리지를 했다고 보도했다. 담보 비율을 유지하기 위해 해커는 오아시스 자동화된 금고(볼트, vault)를 사용했다.
금고는 계약상 업그레이드가 가능했기 때문에, 오아시스는 스마트 컨트랙트를 업그레이드하는 방식으로 금고에 접근할 수 있었다. 오아시스는 2월 21일 다중서명에 발신자 지갑을 추가하고 자동화 컨트랙트를 새로운 프록시로 업그레이드했다.
이렇게 함으로써 발신자는 자금 회수를 위한 트랜잭션을 실행할 수 있었고, 다중서명에서 제거되기 전에 볼트의 담보를 다른 볼트로 옮길 수 있었다.
“정당한 반응 아냐?…가만, 백도어가 있었다고?”
크립토 커뮤니티에서는 엇갈린 반응이 나오고 있다. 이번 조치가 정당하다는 견해가 있는가 하면, 디파이를 우습게 만들었다는 비판도 있다.
메타카텔 벤처스 DAO의 파트너인 아담스 코크란(Adams Cochran)은 “[오아시스가] 법원 명령에 따라 사용자의 자산을 압류할 수 있는 백도어를 가지고 있다는 사실이 마음에 들지 않는다”고 말했다. 암호화폐 투자자 Evanss6.eth는 이번 조치가 “끔찍한 선례”를 남겼다고 말했다. 오아시스의 조치가 탈중앙화의 본래 취지와는 거리가 있다는 지적이다.
So Oasis (@MakerDAO) upgraded a contract to steal the 120,000 ETH back from the Wormhole hacker and return it to Jump
— Evanss6.eth (@Evan_ss6) February 24, 2023
Horrendous precedent
Trusted
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
