출처=스카이마비스
출처=스카이마비스

플레이투언(P2E) 게임 시장을 개척한 액시 인피티니(Axie Infinity)가 최근 대규모 해킹을 당했다. 프로젝트는 해킹을 당한 지 1주일이 지나서야 이 사실을 파악한 것으로 알려졌다.  

엑시 인피니티 개발사 스카이 마비스는 29일(현지시간) 엑시 인피니티 내 사이드체인인 로닌(Ronin)에서 6억2500만달러(약 7618억원) 상당의 가상자산이 유출된 사실을 확인했다고 밝혔다. 로닌은 이더리움 블록체인에서 구동하는 액시 인피니티 게임에 사용자가 몰리자 속도를 개선하기 위해 추가한 일종의 보조 블록체인 네트워크로, 액시 인피니티의 주요 거래를 처리하고 있다.

이더스캔에 따르면, 해커는 지난 23일 두 번에 걸쳐 익스플로잇(취약점) 공격을 감행, 로닌에서 약 5억9700만달러에 달하는 17만3600ETH(이더리움)와 2550만USDC(서클 스테이블 코인)를 탈취했다. 

공격자는 로닌 네트워크에 있는 9개의 검증자(밸리데이터) 노드 중 5개 노드의 키를 탈취, 해커의 지갑으로 자금을 옮기는 트랜잭션에 서명하는 방식으로 자금을 빼돌렸다. 탈취된 키는 스카이 마비스 운영 키 4개와 액시 다오(DAO, 탈중앙화조직) 운영 키 1개다. 

이중 액시 다오 소유 키는 스카이 마비스가 지난해 11월 사용자수 폭증에 따른 검증 업무를 분담하기 위해 액시 다오에 주요 트랜잭션에 대한 서명 권한을 부여한 후 이를 해제하지 않은 게 화근이 됐다. 액시 다오는 12월에 해당 작업을 종료했지만 사건이 발생한 3월까지도 여전히 트랜잭션 서명 권한이 있었고, 해커가 이를 악용한 것. 

스카이 마비스는 도난 및 사용자 손해 규모에 대해 "사용자 자금의 손실이 없는지 확인하기 위해 법률 공무원, 가상자산 전문가, 가상자산 보안 기업 체이널리시스(Chainalysis)와 협력하고 있다"면서 "모든 자금을 회수하거나 상환하도록 노력하고 있다"고 밝혔다. 대부분 탈취 자금은 여전히 해커의 지갑에 있는 것으로 알려졌다. 

현재 회사는 로닌을 이더리움 메인넷에 연결하는 브리지 서비스와 로닌에서 실행되는 탈중앙 거래소(DEX) 카타나 서비스를 중단했다. AXS(액시), SLP(스무드러브포션) 등 액시 인피니티 생태계 토큰과 로닌의 거버넌스 토큰인 RON(로닌) 등은 안전하다고 밝혔지만, 로닌 네트워크에서 자금 인출이나 입금은 불가한 상태다. 

제프 절린(Jeff Zirlin) 액시 인피니티 공동창업자는 29일 ‘대체불가능토큰(NFT) 로스앤젤레스(LA)’ 콘퍼런스 세션에서 이를 “역사상 가장 큰 해킹 중 하나”라면서 “해커는 일부 자금을 거래소로 옮겼고 우리는 이를 식별해 적절한 조치를 취할 수 있다”고 밝혔다

소식이 알려진 후 RON은 하락세를 보이고 있다. 한국시간 30일 오전 6시 코인마켓캡 기준 RON은 24시간전 대비 22%가량 떨어졌다. 

김세진 객원기자. 2018년 말부터 블록체인∙암호화폐 금융(CeFi, DeFi) 시장과 연을 맺고 있습니다. 돈(Money)이 디지털로 변하는 과정을 글로 논합니다. 소량의 비트코인(BTC), 이더리움(ETH) 등을 보유하고 있습니다.

관련기사

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지