“이번엔 천억원대” 해킹만 세 번째…오지스 “해결책 마련 중”

오르빗체인 트위터(X) 갈무리.

국내 블록체인 기업 오지스가 개발한 크로스체인 플랫폼 ‘오르빗 브리지(서비스명 오르빗 브릿지)’가 해킹으로 8100만달러(약 1052억원) 상당 가상자산(암호화폐)을 도난당했다.

앞서 오지스는 지난 2021년 자체 개발한 디파이(탈중앙화 금융) 서비스 벨트파이낸스가 해킹당했을 당시, 또 2022년 자체 개발한 탈중앙화거래소(DEX) 클레이스왑이 해킹당했을 당시에도 피해액을 자체 보상한 바 있다. 하지만 이번에는 피해 금액이 상당해 우선은 자산 회수에 총력을 다하겠다는 방침이다.

오르빗 브리지는 이더리움, 클레이튼, BNB체인 등 서로 다른 블록체인 플랫폼 간 자산 이동을 가능하게 하는 크로스체인 플랫폼이다. 국내에서는 클레이튼 생태계의 주요 크로스체인 플랫폼으로 잘 알려져 있다.

◇오지스 “해커와 소통 시도, 자산 회수도 고려”…공격 원인은 추적 중

오르빗 브리지의 기반 네트워크인 오르빗체인 측은 지난 1일 오후 4시 39분 공식 X(구 트위터)를 통해 “세계협정시(UTC) 기준 2023년 12월 31일 오후 8시 52분 오르빗 브리지에서 확인되지 않은 접속 기록이 포착됐다”고 밝혔다.

블록체인 보안업체 사이버스 얼러트(Cyvers Alerts)에 따르면 공격은 오르빗 브리지의 이더리움(ETH) 볼트에서 발생한 것으로 나타났다. 탈취당한 자산 규모는 8100만달러(약 1052억원)에 이른다. 오르빗체인의 총예치자산(TVL) 규모가 1억8200만달러임을 감안하면 44%에 달하는 규모다.

오르빗체인은 블록체인 보안업체 ‘티오리’와 함께 공격 원인을 추적 중이라고 밝혔다. 또 주요 가상자산 거래소에 탈취 자산 동결을 요청했으며, 해커와도 소통을 시도하고 있다고 설명했다.

오지스 관계자는 “티오리 리포트가 나와야 정확한 원인을 알 수 있다”면서도 “우선은 해커에게 지속적으로 연락을 취하는 등 자산을 회수할 수 있는 방법이 있는지 살펴보고 있다”고 말했다.

해커와 소통을 시도하는 이유는 해킹을 당한 블록체인 서비스가 해커로부터 자산을 일부 돌려받은 사례가 있기 때문이다. 지난해 11월 탈중앙화거래소(DEX) 카이버스왑은 해커에게 ‘화이트해커 보상금’을 지급하기로 합의하고, 도난당한 자금 중 일부를 돌려받은 바 있다.

단, 해커와의 소통에 실패할 경우 자구책을 마련해야 한다. 오지스는 이 점 역시 염두에 두고 다방면으로 해결책을 고려 중이라고 밝혔다.

오르빗 브리지가 클레이튼 생태계의 주요 크로스체인 플랫폼이었던 만큼, 클레이튼 재단 측도 입장을 밝혔다. 이날 클레이튼 재단은 “지난 몇 년 동안 오르빗체인 팀은 클레이튼 생태계 성장에 중요한 역할을 해왔다. 따라서 클레이튼 재단은 오르빗 브리지 해킹 피해 복구를 적극적으로 지원할 것”이라고 했다.

◇벨트파이낸스·클레이스왑 땐 ‘자체 보상’…이번엔 금액 커 우려 증폭

오지스가 개발한 서비스가 해킹에 노출된 것은 이번이 처음은 아니다. 2021년에는 디파이(탈중앙화금융) 서비스 벨트파이낸스가 공격을 당해 약 81억원어치 가상자산을 탈취당했다. 또 2022년에는 오지스의 간판 서비스이자 DEX인 클레이스왑이 해킹으로 22억원치 가상자산을 도난당했다.

앞서 2020년에도 오지스가 개발한 클레이(KLAY) 스테이킹(예치) 서비스 ‘클레이스테이션’의 도메인 관리 계정이 해킹당한 바 있다. 단, 이는 오지스가 사용하던 도메인 업체 ‘후이즈’의 오지스 계정이 해킹당한 것으로, 오지스의 서비스가 공격에 노출된 다른 사례와는 차이가 있다.

따라서 오지스 서비스가 해킹당한 것은 이번이 세 번째다. 지난해 정보보호관리체계(ISMS) 인증을 획득했음에도 이번 사태가 발생한 것이라 향후 신뢰 회복에도 난항을 겪을 것으로 보인다.

‘벨트파이낸스’는 지난 2021년 6월 ‘플래시론’ 공격에 노출됐다. 플래시론 공격은 블록체인의 블록 1개가 만들어지는 짧은 시간 안에 무담보로 대출을 받고 상환하는 ‘플래시론’을 활용한 공격이다. 디파이 서비스들을 대상으로 한 공격 방법으로 흔히 쓰인다.

벨트파이낸스가 해킹으로 도난당한 자산 규모는 623만달러(약 81억원)가량이지만, 플래시론 공격으로 인한 수수료 4380만달러를 합한 총 피해 규모는 5000만달러(651억원)에 달했다.

당시 오지스는 자체 보상안을 마련, 해킹으로 직접적인 피해를 입은 이용자들과 벨트파이낸스의 거버넌스토큰 BELT 보유자들에 대한 보상을 진행했다. 또 당시 BELT 가격이 급락했던 만큼, BELT 가격을 높이기 위한 ‘바이백’ 펀드도 마련했다. 시장에서 BELT 토큰을 일부 사들여 가치를 제고하기 위함이었다.

이후 발생한 클레이스왑 해킹 때도 자체 보상을 실시했다. 보상 신청서를 제출한 이용자들에 한해 탈취당한 가상자산을 동일 수량으로 다시 지갑에 입금해줬다.

하지만 이번 사태는 피해 금액 규모가 큰 만큼, 자체 보상안을 마련할 수 있을지 미지수다. 업계에서도 이에 대한 우려가 증폭되는 상황이다.

오지스 관계자는 “아직까지 해커가 탈취한 가상자산이 움직이지는 않았다”며 “해커가 사용한 지갑 주소를 커뮤니티에 모두 공개하고 있다. 또 연락할 수 있는 모든 거래소에 연락을 취해 자산 동결을 요청했다”고 밝혔다.

(서울=뉴스1)