【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]권한확인 취약점에 1억달러 이더리움 탈취…탈중앙 책임 어쩌나

온카뱅크관리자

2025-11-05 15:57:31

<div id="layerTranslateNotice" style="display:none;"></div> "건실했던 거래 프로토콜이었는데…밸런서 로직함수 결함 악용" "탈중앙화할수록 사고 책임 분산…위협시나리오 반영 설계해야" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="9FP4mOQ9XO">
 <figure class="figure_frm origin_fig" contents-hash="b8c79e4ac1a9d9f9d42801eaf0c419d9d5e07b1d82de9851ef053b56a3a52a22" dmcf-pid="23Q8sIx25s" dmcf-ptype="figure">
 <img alt="26일 서울 서초구 빗썸 고객센터에 비트코인을 비롯한 알트코인 시세가 보이고 있다. . ⓒ News1 이재명 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/05/NEWS1/20251105155629915irdk.jpg" data-org-width="1400" dmcf-mid="KWDcF0waGI" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/05/NEWS1/20251105155629915irdk.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 26일 서울 서초구 빗썸 고객센터에 비트코인을 비롯한 알트코인 시세가 보이고 있다. . ⓒ News1 이재명 기자
 </figcaption>
 </figure>
 (서울=뉴스1) 윤주영 기자 = 최근 1852억 원가량(1억 2800만 달러)의 이더리움이 탈취되면서 '탈중앙화 금융(디파이)' 시스템을 향한 근본적 보안 우려가 제기된다. 개별 거래소 이슈가 아닌, 거래 프로토콜인 '밸런서'의 접근권한 취약점 자체가 악용됐기 때문이다.
 블록체인 생태계가 탈중앙화할수록 여러 참여자가 관여하기 때문에, 보안 책임을 따지기도 점점 힘들어진 전망이다. 스마트 콘트랙트의 설계부터 위협 시나리오를 설정하는 '보안 내재화'가 과제로 제시된다.
 5일 외신 등을 종합하면 이달 3일 신원 미상의 공격자가 밸런서 V2의 스마트 콘트랙트 접근 권한 설정의 취약점을 악용, 대규모로 자산을 탈취했다.
 밸런서 프로토콜에 기반한 풀(pools)에서 피해가 발생했다. 이더리움 기반 스테이킹 자산인 랩드 이더리움(WETH), osETH, wstETH 등이 대표적이다.
 웹3 보안 플랫폼 디큐리티(Decurity) 등은 밸런서의 'manageUserBalance' 함수 상의 치명적 결함이 공격을 허용했다고 지목한다. '_validateUserBalanceOp'라는 로직이 거래(트랜잭션) 발신자와 사용자 제공 발신자 간을 제대로 검증하지 못했다.
 제대로 된 프로토콜이라면 자금을 인출하려는 사람이 실제 주인인지 검증해야 한다. 하지만 로직 허점 탓에 거래 요청자와 신청서 상의 이름이 일치하는지만 검증됐다. 접근권한 관리가 철저하게 이루어지지 못한 것이다.
 밸런서 V2를 개발한 곳이 부실한 스타트업도 아니었다. 2020년 출범한 회사는 다수의 보안 감사를 통과했으며, 오픈소스 커뮤니티 안에서도 상대적으로 안정된 프로토콜을 만든다고 평가받았다.
 이 때문에 전체 이더리움 대비 피해액이 크진 않지만, 블록체인의 근본적 보안 문제를 여실히 보여줬다는 평가까지 나온다.
 박세준 티오리 대표는 "올해 2월 2조 원대 피해를 야기한 바이비트 해킹 사태는 개별 거래소 이슈였지만, 이번 건은 디파이 프로토콜 자체가 악용된 것"이라며 "이런 취약점들은 기존에도 있었고, 앞으로도 계속 드러나게 될 것"이라고 내다봤다.
 현재로서는 밸런서와 같은 특정 프로토콜은 회사나 재단에서 주도하는 경우가 많다. 하지만 앞으로 본격적인 탈중앙화 블록체인 생태계가 도래한다면, 보안 사고의 책임을 따지기가 어려워질 거라고 박 대표는 꼬집었다. 시스템 참여자 모두에게 책임이 분산되기 때문이다.
 박 대표는 "스마트 콘트랙트의 코드가 공개되건 안 되건, 코드 보안성 자체를 높이려는 노력이 필요하다"며 "설계 단계부터 위협 시나리오를 설정해야 하고, 이를 구현할 때도 방어적 접근인 '시큐어 코딩'이 필요하다"고 덧붙였다.
 한편 공격이 수개월 전부터 준비됐으며, 북한 배후의 '라자루스' 조직과 수법이 유사하다는 분석도 있다. 공격자는 흔적을 남기지 않기 위해 암호화폐 믹서인 '토네이도 캐시'로 0.1이더리움씩을 지속 입금, 해킹용 지갑을 조심스럽게 구축했다고 전해진다.
 legomaster@news1.kr 
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기