[테크톡] 어쩌다 7000억 털렸을까…NFT 1위 게임의 민낯

하루 만에 이름 모를 해커에게 털린 금액만 6억 달러(약 7,400억 원)가량 입니다. 지금까지 가상화폐 디파이(탈중앙화 금융 시스템)에서 벌어진 해킹 가운데 가장 규모가 큽니다.

심지어 해킹이 발생한 곳은 세계 최대 NFT(대체불가능 토큰) 게임인 '엑시 인피니티'입니다.

어쩌다 이런 일이 벌어진 걸까요.

우선 엑시 인피니티는 가상화폐 게임의 상징과도 같은 곳입니다. 2018년 베트남 게임 업체 '스카이마비스'가 출시했습니다. 사용자는 게임 내에서 여러 몬스터들을 수집·육성하고 전투를 벌입니다. 일본 '포켓몬스터'와 방식이 비슷합니다.

다른 점은 사용자들이 게임 과정에서 돈을 벌 수 있다는 겁니다. 자신의 몬스터로 전투를 벌이며 게임을 진행하면 게임 내 토큰을 보상으로 받습니다.

또 각 게임 몬스터들은 NFT로 등록돼 있어 매매가 가능합니다. 최근 인기를 끌고 있는 P2E(play to earn) 시장에서 가장 널리 알려져 있고, 가장 사용자 수가 많은 게임입니다. 하루 활성화 이용자 수만 200만 명에 육박하는 것으로 추정됩니다. 엑시 인피니티의 모든 거래는 이더리움 네트워크에서 이뤄집니다.

엑시 인피니티 게임 화면

그런데 엑시 인피니티는 지난 2월 '로닌'이라고 불리는 이더리움 기반 하위 네트워크를 출시합니다. 이더리움은 사용자가 가장 많은 네트워크지만 단점으로 높은 수수료가 꼽혀 왔습니다.

엑시 인피니티는 로닌을 통해 대부분의 거래를 보다 저렴하게 처리하려는 계획이었습니다. 로닌에서 다양한 디파이 서비스를 선보이며 점점 범위를 넓혀가려는 의도도 있었습니다.

승승장구하던 엑시 인피니티에서 해킹이 벌어진 건 지난달 23일입니다. 해킹은 로닌의 '브릿지' 서비스 부문에서 벌어졌습니다. 로닌 브릿지에선 이더리움과 USDC 등 가상화폐를 환전하고 전송할 수 있습니다. 일종의 가상화폐 은행 겸 환전상인 셈입니다. 디파이의 일종입니다.

해커는 23일 하루 동안 두 차례에 걸쳐 이더리움 17만 3,600개와 USDC 2,550만 개를 탈취했습니다. USDC는 스테이블 코인의 일종으로 미국 달러와 가치가 연동돼 있습니다. 해킹된 가상화폐는 모두 6억 달러 가량입니다.

세계 최대 NFT 게임 업체가 야심 차게 선보인 가상화폐 네트워크가 허술하게 뚫린 건 취약한 검증 시스템 때문이었습니다.

로닌이든 이더리움이든 가상화폐 네트워크는 블록체인 기술이 핵심입니다. 블록체인은 특정 거래가 발생했을 경우 전 세계에 흩어져 있는 검증인들이 이 거래가 정상적인지 검증하게 됩니다. 검증인 과반의 승인을 받아야만 새로운 블록에 생성되고 거래가 통과되는 식입니다. 이런 특성이 탈중앙화 거래를 만듭니다.

예컨대 비트코인은 현재 전 세계에 있는 검증인들이 15,621개에 이릅니다. 만약 해커가 비트코인 거래를 해킹하려면 전 세계에서 최소 7,810개의 검증인들을 해킹해야 하는 겁니다. 비트코인을 해킹하는 게 어려운 이유입니다.

비트코인 검증인 현황

그런데 로닌 네트워크의 검증인은 겨우 9개였습니다. 탈중앙화라고 부르기엔 민망한 수준입니다.

해커들은 이 중 5개 검증인의 소유권을 해킹으로 확보했고, 로닌 네트워크에서 자신들이 원하는 대로 거래를 조작할 수 있었습니다.

이런 류의 공격은 소위 '51% 공격'으로 알려져 있기도 합니다. 블록체인 전체 검증인 가운데 과반수를 확보한 뒤 거래를 조작하는 겁니다.

해킹 이후 검증인 5곳을 추가한 엑시 인피니티는 앞으로 3개월 내에 검증인 21곳을 확보할 계획입니다. 12일 엑시 인피니티 측은 "이번 피해를 만회하려면 최소 2년의 시간이 필요할 것"이라고 밝혔습니다.