brunch

라이킷 5 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by delight Apr 10. 2022

엑시 인피니티 로닌 해킹이 주는 3가지 메시지

학습 차원에서 틈틈이 해외 전문가들이 블로그나 미디어 그리고 책에서 쓴 글을 번역 또는 정리하고 있습니다. 이번 포스팅도 그중 하나고요. 거칠고 오역된 부분이 있을 수 있습니다. 제대로 번역되지 않은 부분은 확인 주시면 반영토록 하겠습니다. 이번 글은 뱅크리스 뉴스레터에 올라온 글을 정리한 것입니다.


2월 우리는 3억달러 침해를 당한 솔라나의 웜홀 브릿지에 대해 썼다. 이번 달에는 엑시 인피니티 로닌 사이드체인을 둘러싼 뉴스가 나왔다.


6억 달러

이것은 해커가 ETH와 USDC들은 훔친 총액이다. Rekt 리더보드에서 역대 최대 규모 해킹이다. 윌리엄은 이벤트들에 대해 놀라운 요약을 간단하게 썼다.


로닌은 스카이 마비스의 중앙화된 커스터디형 사이드체인이다. 엑시 엔티피니가 지난해 7월 퍼져 나갈 때, 로닌은 혼잡한 이더리움 네트워크 거래를 확장하는 것을 도왔다.


로닌은 권위 증명(Proof of Authority) 합의 메커니즘을 사용해 운영한다. 밸리데이터들 풀은 매우 소규모라는 것을 것을 의미한다. 해킹 당시 로닌은 9개 밸리데이터들을 갖고 있었고, 5개가 정직하게 행동하는 것을 요구했다.(멀티시그를 생각해보라)


로닌의 익스플로잇은 기술적인 스마트 컨트랙트 취약성이 아니었다. 매우 단순하게, 밸리데이터 프라이빗키가 도난당한 것이었다.


이것은 이전 브릿지 해킹들과는 많이 다르다. 이전 브릿지 해킹들은 스마트 컨트랙트 버그가 근본 원인이었다. 이것은 멀티 킷 보안 설정(multi-key security setup)에서 보다 전통적인 프라이빗키 해킹이다. 신뢰가 최소화된 브릿징(trust-minimized )이 그렇게 중요한 것은 이 때문이다.


공격자가 어떻게 모든 5개 프라이빗 키 서명들에 접근했는지에 대한 구체적인 내용들은 여전히 향후에 나올 것이다. 그러나 스카이마비스는프라이빗 키 파일들을 보호하기 위한 준비가 되어 있는  적절한 보안 베스트 프랙티스를 갖고 있지 않았던 것으로 보인다.


그러나 여기에는 배워야 할 더욱 큰 교훈이 있다.


1. 사이드체인에 있는 자산들을 보다 위험하다(Assets on side chains are more risky)

이더리움 같은 베이스 체인에서 떨어져서 트잭션을 처리할 때 따라오는 보안 트레이드 오프는 관심을 기울이기에는 더 이상 새로운 것이 아니다.


당신이, 자산을 사이드체인으로 밀어낼 때, 당신은 기반 베이스 레이어1 체인에 있는 무신뢰(trustless), 탈중앙화된 보안 합의 형태에서 떨어져 나오는 것이다. 이후 당신은 점점 신뢰 되는 사이드체인의 명성과 보안 전문성에 의존한다.


다시 말해 당신은 보안을 비용과 속도를 위해 트레이트 오프한다.


2.스케일링은 가장 중요한 부분이다(Scaling is the name of the game)

디파이가 성장하면서, 사용자 수요에 대한 확장해야 할 필요는 폭발하고 있다. 이번 주에만 바이낸스는 자사 BNB 체인에서 블록체인 게임들에 대한 기반 네트워크 혼잡을 줄이기 위해 애플리케이션 특화된 사이드체인을 선보이는 계획을 발표했다.


BNB 체인은 41개 승인된 밸리데이터들을 갖고 있음을 고려하면 감독자로서 국가 간 정부 조직을 설정함으로써 국가 정부 효율성을 간소화하는 것과 같다.


그것은 스테로이드에서 하이퍼 중앙화다.


반대로, 이더리움 생태계에서 개발자들은 대신에 레이어2 롤업을 통해 거래를 확장하는 것을 선택했다.

롤업은 기반 체인에서 데이터 공간을 압축함으로써 빠른 거래 처리를 가능케 한다. 사이드체인들과 달리 그러나 롤업 보안은 여전히, 이더리움 베이스 체인에 의존한다. 따라서 사용자들은 별도 검증인들을 신뢰하도록 요구받지 않는다.


3. 우리가 확장할 때 탈중앙화를 잊을 수 없다(We can’t forget decentralization as we scale)

사용자 성장을 수용하기 위해 모든 이는 빠르게 확장하고 싶어 한다. 그러나, 모든 사람들이 안전하게 확장하지 않는다. 로닌 해킹은 우리에게, 분명한 목표를 제시한다. 탈중앙화와 보안을 희생하지 않고 확장하는 방법을 찾는 것이다.


크립토 공간에 신규 진입자들은 탈중앙화에 대해 관심이 덜하다. 그들은 빠르고 저렴한 거래를 원한다. 그러나, 탈중앙화를 희생해 그렇게 하는 것은 단기적인 게임이다.


사람들은 이더리움 로드맵의 더딘 페이스에 대해 불평한다. 그러나, 진실은 탈중앙화는 시간이 걸린다는 것이다. 탈중앙화는 장기적인 게임이다.


우리는 스카이마비스와 엑시가 이들 교훈을 배우고 이전보다 강하게 돌아오기를 기대한다. 아마도 완전한 탈중앙화된 롤업 경로를 갖고 말이다.

keyword
delight IT 분야 크리에이터

delight의 브런치입니다. 책과 디지털 공간에서 곱씹어볼만한 오피니언을 정리하고 있습니다. delight412@gmail.com
구독자 1,282
작가의 이전글 페이스북같은 빅SNS 탄생 이끈 1996년 결정적 순간
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari