체인라이트(ChainLight) 팀은 사이버 보안 스타트업인 티오리(Theori) 산하의 웹3 보안을 전문으로 담당하고 있다.
체인라이트는 지난 7월 24일, 텔레그램 그룹에서 해킹 피해를 요청하는 글을 확인 후 피해자 자산 구출 작전에 착수했다.
# 개인 키 유출에도 일부 자산 구출
피해자는 위믹스파이(WEMIX.Fi) 지갑의 개인 키가 유출돼 자산을 탈취당했다. 위믹스파이는 교환, 대출, 스테이킹을 지원하는 위믹스 디파이 플랫폼이다.
피해자는 7033 위믹스(WEMIX)와 cWEMIX 담보 4567 위믹스, 총 만 1600 위믹스를 탈취당했다. 체인라이트는 아직 탈취되지 않은 피해자의 위믹스 9000 개를 구출했다.
완전히 탈중앙화된 블록체인에서 개인 키를 분실하게 되면 자산을 찾을 수 있는 방법이 없다. 개인 키를 가지고 있는 주체가 ‘소유자 개인’뿐이기 때문이다. 하지만 위믹스는 반중앙화된 구조의 블록체인이다.
# 자산 구출 과정
체인라이트는 우선 피해자 지갑에 있는 자산 두 가지를 식별했다. 담보로 맡긴 위믹스와 위믹스파이에 스테이킹된 위믹스다.
피해자는 약 8000개의 위믹스를 담보로 위믹스 3.0의 스테이블코인인 위믹스달러를 대출받았다. 위믹스파이는 과담보 기반 대출이다. 대출금을 상환한 후 상환금과 담보금 차액인 3062 개를 회수했다. 과담보란 준비금의 100% 이상을 현금성 자산 등 기타 자산으로 두고 있다는 뜻이다.
믹스파이에 6005개의 위믹스가 탈취되지 않고 스테이킹 상태로 남아있었다. 체인라이트는 대출 상환 직후 cWEMIX로 인출될 수 있는 위험성과, 언스테이킹 요청 후 NFT를 탈취할 가능성을 염두에 두고 cWEMIX 이체를 한 번에 진행했다.
cWEMIX는 디파이 대출 프로토콜인 컴파운드(Compound) V2를 포크(fork)한 위믹스파이의 대출 프로토콜에서 담보로 사용되는 ib 토큰(interest-bearing 토큰)이다. ib토큰은 기초자산을 예치할 경우, 예치한 자산과 발생될 이자를 추적하기 위해 발행되는 토큰이다.
# 웹3 화이트 햇 해커
블랙 햇 해커는 취약점을 악용해 사익을 취하거나 타인의 권리를 침해한다. 반대로 화이트 햇 해커는 공익을 위해 취약점을 찾아 보완한다.
체인라이트 팀은 세계 최고 권위 해킹 대회인 데프콘(DEF CON) 22에서 우승한 화이트 햇 해커 및 보안 전문가들로 구성되어 있다.
고객사나 프로젝트에 취약점을 찾아 보고하거나 버그 바운티(Bug bounty, 취약점 보상) 프로그램에 참여해 웹3 생태계 보안에 기여한다.
체인라이트 관계자는 “해킹 피해자분의 자산을 회수해 드릴 수 있어 기쁘다. 이번 사건을 계기로 웹3 서비스를 사용하는 모두가 자산을 지킬 수 있는 보안에 대한 관심이 높아졌으면 좋겠다. 개인 키 보관에 유의하시기를 바란다“고 말했다.
체인라이트는 오는 9월 웹3 위험 관리 플랫폼을 런칭할 예정이다.
같이 보면 좋은 기사
