암호화폐 해커들이 지난 6개월 동안 4개의 DeFi 프로토콜에서 약 3,670만 달러를 빼돌렸으며, 피해를 입은 모든 컨트랙트의 소스 코드는 블록체인 익스플로러에서 공개적으로 검증된 적이 없었다. 가장 큰 사건은 1월 이더리움 기반 Truebit에서 발생한 2,600만 달러 규모의 해킹으로, 2018년 버전의 솔리디티로 작성된 코드에서 정수 오버플로우를 악용했다. 이제 체이널리시스는 저렴한 AI 도구 덕분에 공격자들이 검증되지 않은 바이트코드를 분석하기 쉬워지면서 이 공격 벡터가 더욱 위험해지고 있다고 경고한다.
2,600만 달러 규모의 Truebit 익스플로잇
Truebit의 컨트랙트는 2021년부터 이더리움에 배치된 채로 검증이나 리뷰 없이 방치되어 있었다. 공격자들은 본딩 커브에서 정수 오버플로우 취약점을 찾아내 이를 뚫었다. 해당 코드는 자동 오버플로우 방지 기능이 없는 솔리디티 v0.5.3으로 작성되었다. 이 버전은 수년이 지났지만 컨트랙트는 업데이트되거나 감사받지 않았다. 버그 바운티 프로그램은 종종 검증되지 않은 컨트랙트를 제외하므로, 그 취약점은 수년간 그대로 남아 있었다.
오래된 솔리디티 코드, 점검되지 않은 채 방치
피해를 입은 네 개의 컨트랙트(Truebit, Trusted Volumes, Aperture Finance, Ekubo)는 모두 Etherscan이나 유사한 도구에서 소스 코드가 검증된 적이 없다는 공통점을 가진다. 검증이 없으면 온체인에서 실행되는 실제 로직이 불투명해진다. 공격자들은 소스 코드가 필요하지 않으며, 배포된 바이트코드를 가져와 Dedaub, Heimdall, Panoramix 같은 도구를 사용해 디컴파일할 수 있다. 그런 다음 AI 시스템을 적용해 재진입, 산술 오류, 접근 제어 결함을 찾는다. 이는 입력 검증 오류 및 신원 확인 실패와 함께 네 건의 사건 모두에서 정확히 발생한 방식이다.
공격자들, AI와 바이트코드 분석으로 전환
3,670만 달러라는 금액은 전체 DeFi 도난 사건 규모에 비하면 작은 수준이다. 체이널리시스는 같은 기간 총 손실액이 10억 달러를 넘는다고 추정한다. 그러나 그 방법이야말로 회사가 우려하는 부분이다. 자동화된 분석 도구는 공격자들에게 점점 더 저렴해지고 접근하기 쉬워지고 있다. 체이널리시스는 더 많은 해커들이 소스 코드 감사에서 AI를 활용한 바이트코드 스캐닝으로 전환하는 법을 배우면서 검증되지 않은 컨트랙트의 위험이 가속화될 수 있다고 경고한다.
체이널리시스: 검증이 기본 요건이 되어야
이 회사는 사용자 자산을 보유하는 모든 컨트랙트에 대해 소스 코드 검증이 기본 요건이 되어야 한다고 권고한다. 감사와 버그 바운티는 프록시 자체뿐만 아니라 프록시 구조 뒤에 있는 구현 컨트랙트도 포함해야 한다. 그렇지 않으면 Truebit의 컨트랙트처럼 수년간 노출된 채로 방치될 수 있다. 이제 업계에 남은 질문은: 과연 얼마나 더 많은 검증되지 않은 컨트랙트가 사용자 자금을 보유한 채 디컴파일되기를 기다리고 있는가이다.
