“해커 지갑이라지만”…웜홀 브리지 자금 회수에 ‘업그레이더블 컨트랙트’ 논란

웜홀 브리지, 지난해 2월 발생한 역대 4번째 큰 해킹 피해 자금 일부 회수
이용자들, “해커 자금이지만 프로토콜이 지갑 제어하는 건 말 안 돼” 비판
업그레이더블 컨트랙트 딜레마…“원활한 서비스 가능하지만 허점 많아”

▲웜홀 브리지 이미지. (출처=코인마켓캡 갈무리)

웜홀 브리지가 지난해 2월 발생해 탈취된 해커의 자금을 디파이 프로토콜 ‘오아시스’와 손잡고 복구했다. 해커들이 자금을 보유하고 있던 오아시스 멀티시그(다중서명) 지갑의 허점을 활용한 방식이었는데, 가상자산 투자자들은 ‘아무리 해커 자금이라도 프토로콜이 마음대로 지갑의 소유권을 제어할 수 있는 건 말이 되지 않는다’는 반응이다. 업계와 전문가들은 서비스의 지속성을 위해 업그레이더블(Upgradable) 컨트랙트의 활용이 불가피한 측면이 있지만, 오딧(감사) 등을 통해 악용 가능성을 배포 전에 차단하는 등 절충하는 방안을 찾아야 한다고 조언한다.

1일 가상자산 업계에 따르면, ‘웜홀 브리지’가 해커들의 오아시스 멀티시그(다중서명) 지갑의 취약성을 역공격해 해킹 발생 1년 만에 도난 자금을 회수했다. 앞서 웜홀은 지난해 2월 해커들에게 12만 이더리움을 도난당한 바 있다. 탈취된 이더리움은 당시 기준으로 3억2500만 달러 상당으로, 가상자산 역사상 4번째로 큰 해킹 피해로 기록됐다. 웜홀 해커들은 해킹 이후 탈취금 일부를 디파이 플랫폼 오아시스 지갑에 예치해둔 상태였다. 오아시스는 성명을 통해 “잉글랜드 웨일스 고등법원으로부터 자산 회수를 명령받고 이를 실행했다”고 밝혔다. 이를 두고 투자자들 사이에서는 “오아시스가 나쁜 선례를 남겼다”는 의견이 나오는 상황이다.

자금 회수가 가능했던 이유는 오아시스의 지갑이 업그레이더블(Upgradable) 컨트랙트로 배포됐기 때문이다. 기본적으로 스마트 컨트랙트는 한번 코드가 짜여지면 수정이 불가능하지만, 업그레이더블의 경우 ‘프록시 패턴’을 활용해 코드를 수정할 수 있다. 쉽게 말해 이용자와 실제 서비스 사이를 연결하는 컨트랙트를 두어, 서비스가 수정된 경우 이용자를 새로운 서비스로 연결하는 것이다.

오아시스는 해커들이 사용한 멀티시그 지갑의 제어 권한을 웜홀 브리지에 넘겨 준 것으로 알려졌다. 문제는 비록 소유권을 이전한 지갑이 해킹 자금을 보관하고 있던 지갑이었으나, 오아시스가 마음만 먹으면 이 같은 일을 실행할 수 있다는 사실이 수면 위로 올라왔다는 것이다. 취약점 해킹 뿐 아니라 코드 수정 권한을 가진 관리자들의 도덕적 해이에 따라 더 큰 피해로 이어질 수 있기 때문이다.

업계 관계자는 “우려를 해결하는 해결 방법은 간단하게도 업그레이더블로 컨트랙트를 배포하지 않는 것이지만, 오아시스뿐만 아니라 아비트럼, 옵티미증 등 많은 네트워크와 프로토콜이 사업적 이유로 업그레이더블 컨트랙트로 서비스를 배포하고 있다”라고 말했다.

업그레이더블이 활용되는 이유는 수정 사항이 있을 때마다 서비스를 새로 배포하지 않아도 된다는 장점이 있기 때문이다. 만약 논-업그레이더블(Non-Upgradable)로 배포할 경우, 수정마다 새로 배포되는 서비스를 이용자들이 따라오지 못할 수 있다. 이에 따라 기술에 익숙하지 못한 이용자들의 서비스 이용에 불편함을 느끼는 것은 물론, 제때 새로운 서비스로 옮겨가지 못해 자산이 유실되는 사태 등도 발생할 수 있다.

최화인 초이스뮤온오프 대표도 업그레이더블 컨트랙트의 활용이 “(블록체인) 기술에 대한 이상과 현실의 갭을 보여주는 것”이라고 말했다. 업그레이더블을 활용하지 않기에는 서비스 상에 불편한 점이 너무 많이 발생하고, 활용하기에는 허점이 많다는 설명이다.

최 대표는 “현실적으로 서비스를 위한 지속적인 디버깅 필요성 등으로 인해 업그레이더블을 사용하지 않을 수 없다”면서도 “배포 전 오딧(감사) 등을 통해 악용 가능성을 점검하고, 가능하다면 거버넌스 투표를 통해 공개적으로 업그레이드를 진행하는 방식을 혼용하는 게 현재까지는 현실적”이라고 설명했다. 이어 “이런 점이 블록체인 관련 서비스가 아직 굉장히 초기단계고, 그만큼 대중화가 어렵다는 점을 보여주는 것”이라고 덧붙였다.