이더리움 ERC-20, ‘가짜 예치금 공격’ 위험 노출…”피해액 10억 달러 달할 수도”

이더리움 ERC-20 토큰이 ‘가짜 예치금 공격’에 취약한 것으로 드러났다.

25일(현지시간) 암호화폐 전문 매체 코인데스크에 따르면 한 연구팀이 ERC-20 토큰  발행업체 7772개에서 ‘가짜 예치금’이라 불리는 소프트웨어 결함을 찾아냈다. 이번 연구는 베이징대학교와 베이징우전대학교, 저장대학교와 퀸즈랜드 대학교에서 진행했다.

연구진은 거래소의 불충분한 거래 인증 방법을 통해 ERC-20 토큰을 스마트 콘트랙트 코드나 프로그래밍 스크립트를 조작함으로써 해커가 막대한 양의 자금을 빼돌릴 수 있다고 밝혔다.

‘가짜 예치금 공격’은 ERC-20 토큰과 다른 암호화폐 보유자들이 자금을 잃게 하는 방식으로 거래소에 타격을 입힐 수 있다. 몇몇 보유자는 ERC-20 토큰으로 구입한 에너지, 부동산과 보험 등을 사용하는 데 어려움을 겪을 수 있다.

베이징우전대학교 컴퓨터공학과 부교수 하오위 왕은 “가짜 보증금 공격이 실행되면 ERC-20 토큰에 큰 재앙이 될 것임이 분명하다”며 “최악의 경우 토큰을 아예 재발행해야만 한다”고 경고했다.

연구팀의 부책임자 저장대학교 사이버과학부 레이 우 교수는 오래된 이더리움 스마트 콘트랙트를 대체하기 위한 이른 바 ‘프록시 스마트 콘트랙트’를 배포할 것을 제안했다. 그러나 몇몇 이더리움 개발자들은 보안 리스크를 짊어져야한다는 이유로 프록시 스마트 콘트랙트를 쓰는 것을 거부하고 있다.

‘가짜 보증금 공격’은 이더리움 블록체인 소프트웨어 표준 EIP-20이 없는 구 버전 ERC-20 스마트 계약이 토큰 잔액 확인을 조건부 프로그래밍 문구에 의존한다는 점을 노렸다. 토큰 거래 종료를 차단하는 ‘반환 거짓’ 문구로 프로그래밍 기능인 ‘이전’과 ‘이전출처’가 호출된다. 이는 보안 점검을 하지 않는 암호화폐 거래소를 공격하는 수단이 된다.

연구에 따르면, 문제 발생 시 탈중앙화 거래소보다 중앙형 거래소에서 피해액이 훨씬 더 클 전망이다.  탈중앙화 거래소에서 거래량이 많은 클라우드브릭, 무비크레디츠, 불랑베어, LOVE, 이더도지 등이 이번 공격에 취약하지만 활용량이 적은 편이다. 이달 IDEX, DDEX, 이더델타 등 탈중앙화 거래소 3개에서 취약점을 보완할 예정이다.

이와 대조적으로 가짜 예금 공격에 취약한 ERC-20 토큰 7717개 중 99.2%가 바이낸스, 코인베이스, 오케이엑스, 크라켄 등 중앙형 거래소에 상장돼있다. 이들 규모는 올해 4월 11억 달러 이상으로 평가되고 있다. 10억 달러를 훨씬 웃도는 가치의 ERC-20 토큰이 위험에 노출된 셈이다.

중앙형 거래소에 상장된 문제의 토큰 중 BRC토큰, BAT, 후오비 거래소의 HPT 토큰 등은 시가 총액이 가장 높다. BRC토큰은 8만7000 BRC(약 39만1000 달러 규모), BAT토큰은 30만5000 BAT(38만8000 달러), 1000HPT(6만3000 달러) 등이 타격을 입게 되는 것으로 분석됐다.

썸네일출처=셔터스톡