[블록미디어 정아인 기자] 웹3 전문 보안감사팀인 체인라이트가 위믹스파이 지갑 자산 구출에 성공해 화제다.
체인라이트(ChainLight) 팀은 사이버 보안 스타트업인 티오리(Theori) 산하의 웹3 보안을 전문으로 담당하고 있다.
체인라이트는 지난 7월 24일, 텔레그램 그룹에서 해킹 피해를 요청하는 글을 확인 후 피해자 자산 구출 작전에 착수했다.
# 개인 키 유출에도 일부 자산 구출
피해자는 위믹스파이(WEMIX.Fi) 지갑의 개인 키가 유출돼 자산을 탈취당했다. 위믹스파이는 교환, 대출, 스테이킹을 지원하는 위믹스 디파이 플랫폼이다.
피해자는 7033 위믹스(WEMIX)와 cWEMIX 담보 4567 위믹스, 총 만 1600 위믹스를 탈취당했다. 체인라이트는 아직 탈취되지 않은 피해자의 위믹스 9000 개를 구출했다.
완전히 탈중앙화된 블록체인에서 개인 키를 분실하게 되면 자산을 찾을 수 있는 방법이 없다. 개인 키를 가지고 있는 주체가 ‘소유자 개인’뿐이기 때문이다. 하지만 위믹스는 반중앙화된 구조의 블록체인이다.
# 자산 구출 과정
체인라이트는 우선 피해자 지갑에 있는 자산 두 가지를 식별했다. 담보로 맡긴 위믹스와 위믹스파이에 스테이킹된 위믹스다.
피해자는 약 8000개의 위믹스를 담보로 위믹스 3.0의 스테이블코인인 위믹스달러를 대출받았다. 위믹스파이는 과담보 기반 대출이다. 대출금을 상환한 후 상환금과 담보금 차액인 3062 개를 회수했다. 과담보란 준비금의 100% 이상을 현금성 자산 등 기타 자산으로 두고 있다는 뜻이다.
믹스파이에 6005개의 위믹스가 탈취되지 않고 스테이킹 상태로 남아있었다. 체인라이트는 대출 상환 직후 cWEMIX로 인출될 수 있는 위험성과, 언스테이킹 요청 후 NFT를 탈취할 가능성을 염두에 두고 cWEMIX 이체를 한 번에 진행했다.
cWEMIX는 디파이 대출 프로토콜인 컴파운드(Compound) V2를 포크(fork)한 위믹스파이의 대출 프로토콜에서 담보로 사용되는 ib 토큰(interest-bearing 토큰)이다. ib토큰은 기초자산을 예치할 경우, 예치한 자산과 발생될 이자를 추적하기 위해 발행되는 토큰이다.
# 웹3 화이트 햇 해커
블랙 햇 해커는 취약점을 악용해 사익을 취하거나 타인의 권리를 침해한다. 반대로 화이트 햇 해커는 공익을 위해 취약점을 찾아 보완한다.
체인라이트 팀은 세계 최고 권위 해킹 대회인 데프콘(DEF CON) 22에서 우승한 화이트 햇 해커 및 보안 전문가들로 구성되어 있다.
고객사나 프로젝트에 취약점을 찾아 보고하거나 버그 바운티(Bug bounty, 취약점 보상) 프로그램에 참여해 웹3 생태계 보안에 기여한다.
체인라이트 관계자는 “해킹 피해자분의 자산을 회수해 드릴 수 있어 기쁘다. 이번 사건을 계기로 웹3 서비스를 사용하는 모두가 자산을 지킬 수 있는 보안에 대한 관심이 높아졌으면 좋겠다. 개인 키 보관에 유의하시기를 바란다“고 말했다.
체인라이트는 오는 9월 웹3 위험 관리 플랫폼을 런칭할 예정이다.
같이 보면 좋은 기사