<△김호광 베타랩스 대표.>

솔라나 기반 탈중앙화 레버리지 거래 플랫폼 망고마켓(MNGO)의 익스플로잇 취약점으로 1억1600만달러 규모의 자산을 잃어버렸다. 거의 모든 자산을 잃어버렸던 탈중앙화 금융(DeFi) 플랫폼 망고마켓은 다행이도 해커가 훔친 자산의 일부를 돌려주면서 파산의 위기에서 벗어날 기회가 되었다.

10월 15일(현지시간) 망고마켓은 공식 트위터를 통해 "해킹 피해 자금 중 6700만달러가 DAO에 반환됐으며, 오후 3시 망고 SNS를 통해 반환 금액 사용과 상황 해결에 대한 논의를 시작하겠다"라고 발표했다.

망고마켓 공격 팀 중 한명이라 알려진 아브라함 아이젠버그는 자신의 트위터를 통해 망고 마켓의 취약점을 비판했다.

"설계된 대로 프로토콜을 사용한 우리의 조치는 모두 합법적이었다고 생각한다. 하지만 이번 공격으로 망고 마켓은 파산 상태가 됐고, 보험 기금이 청산을 충당하기엔 충분하지 않았다. 상황을 해결하기 위해 거래소 자본 재조정을 목표로 탈중앙화 보험 기관과의 합의 계약 협상을 도왔다"

이 사태의 본질은 블록체인의 기본인 스마트 계약의 논리적인 취약점으 해커들의 공격 대상이 되었다는 것이다. 탈중앙화 금융인 디파이는 서브프라임 모기지 사태를 일으킨 파생금융만큼 복잡한 계약 구조를 가지고 있다.

한마디로 일반적인 블록체인 투자자가 리스크를 측정하기 힘들다는 점이다. 복잡한 서비스 구조를 가진 탈중앙화된 금융인 디파이의 알고리즘 취약점을 확인하기는 사실상 불가능하다. 더구나 메인넷 자체의 제로데이 취약점을 비롯하여 다양한 오픈 소스의 레고 블록인 메인넷과 스마트 계약의 알고리즘 취약점은 기존의 해킹 보안 프로그램의 취약점 점검 툴로 커버 되기 힘들다.

그래서 디파이 서비스는 언제나 해킹 당할 수 있고 은행과 같은 중앙 기관이 없기 때문에 소비자 보호 자체가 불가능하다.

디파이 투자자는 다음 원칙을 지켜야한다.

첫째. 단일 탈중앙화 금융에 너무나 많은 자산을 넣으면 안된다.
둘째. 일정 자산 규모가 있는 탈중앙화 금융도 안전하지 않다는 것을 알아야 한다.
셋째. 탈중앙화 금융 프로젝트가 제출한 보안감사 리포트조차도 보험이 되지 않는다.
넷째. 몇년간 장기간 살아남은 탈중앙화 금융 프로젝트는 수익이 낮지만 그나마 안전한다.

루나 사태에서 알 수 있듯이 알고리즘의 취약점을 노려 악의적인 디파이 알고리즘을 공략하는 세력이 블록체인에는 존재한다.

디파이 서비스는 검증된 금융 플랫폼이라기 보다 블록체인을 이용한 대안 금융으로 바라봐야 한다. 투자 상품의 안정성 검증과 리스크 모두 중앙기관이 책임지지 않기 때문에 더욱 세심하게 투자자가 리스크를 이해하고 투자해야 한다.

필자 소개: 베타랩스 김호광 대표는 블록체인 시장에 2017년부터 참여했다. 나이키 Run the city의 보안을 담당했으며, 현재 여러 모바일게임과 게임 포털에서 보안과 레거시 시스템에 대한 클라우드 전환에 대한 기술을 지원하고 있다. 최근 관심사는 사회적 해킹과 머신 러닝, 클라우드 등이다.