그런데 사건이 발생한 지 몇 시간 만에 이번 해킹 사건이 거래 호출 데이터를 복사한 뒤 지갑을 자신의 것으로만 교체하면 누구나 이 프로토콜의 자금을 빼낼 수 있었다는 점이 밝혀져 투자자들을 허탈하게 만들었다.
암호화폐 인플루언서(KOL) 푸바(foobar)는 오늘 오전 7시 반경, “노마드 프로토콜이 해커의 공격을 받고 있으며 수 백 만 개의 WETH와 WBTC가 백만 달러 단위로 인출되고 있다. 가능한 한 모든 돈을 인출하라. 프로토콜의 자금 1.6억 달러가 위험한 상황”이라는 트윗을 올렸다.
# 빈집털이 끝나자 TVL 거의 ‘0’, 수백 명이 같은 방식으로 돈 빼내
노마드는 공격받은 지 한 시간 만에 세간살이를 다 털렸다. 디필라마(Defilama) 체인의 데이터에 따르면, 노마드의 총 고정 가치(TVL)는 공격받기 전날 1억 9000만 달러였으나 현재 4,500달러만 남은 것으로 파악됐다.
그런데 모두를 경악케 한 사실은 푸바(foobar)가 이어진 게시물에서 지적한 것처럼 이번 노마드 공격이 플래시론 공격이나 단일 해커그룹의 정교한 작전에 의한 것이 아니라는 점 때문이다.
그의 지적에 따르면, 초기 공격자의 공격이 일어난 뒤 수백 개의 개별 계정이 첫 공격자의 공격 수단(취약점)을 발견했고 동일한 호출 데이터를 복사해 노마드 프로토콜의 자금을 연이어 편취했다는 것.
이같은 일이 벌어진 것은 노마드 팀이 41일전 프로토콜 업그레이드를 하면서 “initialize()” 함수를 호출할 때 제로 루트(0x00)를 허용 가능한 루트로 표시하는 실수를 저질렀고, 이로 인해 모든 호출 메시지가 유효한 것으로 받아들여 졌다고 한다.
# 일부 화이트 해커, 확보한 자금 반환 의사 밝혀…일부는 자작극 의심
그나마 다행스러운 것은 호출 공격 방법을 파악한 일부 화이트 햇 해커가 수백만 달러로 추정되는 노마드 크로스 브릿지의 자금을 확보했고 이를 반환할 의사를 공개적으로 밝혔다는 점이다.
노마드의 공격이 어이없는 보안상의 허점으로 밝혀지자 일부 사용자들은 “프로토콜은 자기들 마음대로 업그레이드할 수 있고, 탈중앙화는 허상일 뿐”이라고 비판했고 심지어 프로젝트의 자작극이라는 의구심도 일었다. 노마드가 최근 투자 소식과 호재를 발표하면서 주목을 받은 뒤 업그레이드를 명목으로 스스로 허점을 만들고 먹튀한 게 아니냐는 의혹이다.
알려진 바에 따르면, 노마드는 지난 주인 7월 28일 코인베이스 벤처스, 오픈씨, 갤럭시 디지털 등 다수의 유명 벤처캐피털로부터 시드 라운드 투자를 받으면서 2억 2500만 달러의 가치 평가를 받았다고 발표했다. 하지만 불과 일 주일도 안돼 폐업 수준의 타격을 입고 말았다.
