커뮤니티 주도 "해결"된 DeFi 대도난 사건을 전방위적으로 재현하다

저자: Eric, 체인문

지난 주는 DeFi 세계에 있어 평온하지 않은 한 주였습니다. Poly Network, 탈중앙화 연금 프로토콜 Punk Protocol, BSC의 대출 프로토콜 Neko, NEAR 생태계의 탈중앙화 거래소 Ref.Finance 등 여러 프로젝트가 해커의 공격을 받았고, 손실 금액은 수백만에서 수억 달러에 이릅니다. 일부 공격자는 자금을 반환했지만, 여전히 몇몇 해커는 지금까지도 처벌받지 않고 있습니다.

어쩌면 Poly Network에서 6억 달러의 자산을 탈취한 해커가 말했듯이, 이 세상에는 완벽한 시스템이 없고, 우리가 아직 발견하지 못한 취약점만 있을 뿐입니다. 만약 탈중앙화 프로젝트가 코드 논리의 취약점으로 해커의 공격을 받는다면 이는 발전 과정에서의 고통으로 볼 수 있지만, 본래 자산을 탈취하는 것을 목적으로 하는 프로젝트는 노골적인 범죄입니다.

BSC의 스테이블코인 DeFi 프로젝트 ------ StableMagnet

이야기는 바이낸스 스마트 체인(BSC)에서 시작된 DeFi 프로젝트 StableMagnet에서 시작됩니다.

올해 상반기 이더리움의 성능 병목 현상은 DeFi의 인기로 인해 유입된 트래픽을 초래했고, 바이낸스를 배경으로 한 BSC는 우수한 사용자 기반과 체인 상 경험 덕분에 급속히 시장을 차지했습니다. 그러나 BSC의 인기는 많은 투기 프로젝트를 끌어들였고, 이들은 유동성 채굴 보상을 제공하는 DeFi 프로젝트를 배포하여 사용자 참여를 유도했습니다. 이른바 "토끼 프로젝트"입니다. 이러한 "토끼 프로젝트"는 장기 운영을 계획하지 않았고, 초기의 높은 수익률을 이용해 도박꾼을 끌어들여 프로젝트의 토큰 가격을 높인 후, 자신들이 보유한 토큰을 팔아 수익을 챙기려 했습니다.

이러한 프로젝트는 높은 위험을 동반하며, 프로젝트 측이 언제 가격을 폭락시킬지 알 수 없습니다. 더 나아가, 일부는 계획적으로 남겨둔 취약점을 이용해 투자자의 자산을 훔치고 사라지기도 합니다.

StableMagnet는 후자의 경우입니다.

이번 프로젝트의 피해자에 따르면, StableMagnet는 BSC Daily 등 여러 홍보 채널에서 언급되어 일부 BSC 사용자들의 주목을 받았지만, 일반 커뮤니티에서는 큰 반향을 일으키지 않았습니다. 대부분의 사람들은 이것이 수많은 일반 "토끼 프로젝트" 중 하나라고 생각했습니다. 그러나 커뮤니티 내에서 코드 검토 능력을 가진 구성원이 해당 프로젝트의 코드를 검토한 결과, 이 프로젝트의 코드에는 명백한 취약점이 없거나, 적어도 프로젝트 측이 주관적인 악의를 가지고 있더라도 계약에서 자산을 안전하게 이동할 수 없다는 결론을 내렸습니다.

코드가 안전하다고 판단하고 APY가 상당히 높았던 이 프로젝트는 소규모 과학자 집단 사이에서 퍼지기 시작했습니다. 프로젝트의 안전성을 더욱 보장하기 위해, 프로젝트 측은 계약 시간 잠금을 설정하기도 했습니다. 프로젝트 측이 추가적인 안전 조치를 취하는 것을 보고, 계약을 검토한 전문 사용자들은 더 큰 금액을 투자하게 되었고, 이로 인해 이 무명의 프로젝트의 TVL은 불과 며칠 만에 수백만 달러에서 2400만 달러로 상승했습니다. 그러나 사람들은 이 프로젝트의 겉모습이 "문제가 없어 보인다"는 것 아래 음모가 도사리고 있다는 것을 알지 못했습니다.

가장 큰 위험은 가장 은밀한 구석에 숨어 있다

프로젝트의 코드 논리에는 취약점이 없지만, 이번 문제는 프로젝트 자체의 스마트 계약에서 발생한 것이 아니라 스마트 계약이 호출하는 저수준 함수 라이브러리에 있습니다. 프로젝트 측은 저수준 함수 라이브러리 SwapUtils Library에 백도어를 심어두었기 때문에, 프로젝트 자체의 스마트 계약 코드가 안전하든, 시간 잠금이 있든 상관없이 프로젝트 측은 저수준 함수의 백도어를 이용해 자산을 직접 이동할 수 있습니다. Dopple와 StableGaj 두 DeFi 프로젝트도 동일한 프로토콜을 기반으로 개발되었으며, 그들의 저수준 함수 라이브러리 SwapUtils Library 역시 검증되지 않았습니다. StableMagnet 사건은 이 두 프로젝트의 보안 위험을 드러냈습니다.

RugDoc이 StableMagnet 사건에 대해 만든 만화

과거의 해커 공격 사건은 대부분 프로젝트 자체의 스마트 계약 논리 취약점을 이용했습니다. 이로 인해 저수준 함수 라이브러리에 대한 검증을 간과하기 쉽습니다. 검증되지 않은 저수준 함수 라이브러리는 조작될 수 있습니다. 프로젝트 측은 바로 이 점을 이용했습니다.

중국 표준시 6월 23일 새벽, 이번 사건이 공식적으로 시작되었습니다.

동부 8구역의 대부분 투자자들이 잠들어 있는 사이, 프로젝트 측은 미리 남겨둔 취약점을 통해 2400만 달러의 자산을 이동시켰고, 프로젝트 웹사이트, 트위터, 텔레그램 그룹은 모두 폐쇄되거나 해체되었습니다. 프로젝트 측은 심지어 탈취한 일부 BUSD와 USDT를 바이낸스 거래소로 보내 DAI로 교환한 후 출금했습니다.

프로젝트 측이 행동을 취한 지 10분이 채 되지 않아, Ogle 등 커뮤니티 구성원들은 이상 징후를 발견하고 공격 주소를 추적하기 시작했습니다. 또한 도난 자산이 바이낸스 거래소로 이동한 후 즉시 신고했지만, 바이낸스는 즉각적인 조치를 취하지 않았습니다. 프로젝트 측은 결국 DAI를 거래소에서 성공적으로 출금했습니다.

주목할 점은 일부 유명 커뮤니티 구성원과 DeFi 보안 미디어가 공격 전에 익명의 정보를 받았다는 것입니다. SMAG(StableMagnet) 프로젝트가 도망칠 가능성이 있다는 경고였지만, 경고자의 신원과 정보의 진위를 확인할 수 없었고, 프로젝트 핵심 스마트 계약 자체에는 문제가 없었기 때문에, 경고를 받은 사람들은 신중을 기해 이 정보를 커뮤니티에 공개하지 않았습니다.

커뮤니티의 반격

일반적으로 프로젝트가 공격을 받은 후, 프로젝트 측은 투자자와 협력하여 해커를 추적하거나 손실을 보상합니다. 그러나 StableMagnet의 문제는 프로젝트 측이 스스로 자산을 훔쳤다는 것입니다. 자구책으로 커뮤니티 구성원들은 가능한 모든 방법으로 프로젝트 측을 검색하고 위치를 파악하기로 결정했습니다. 그래서 범죄를 단속하는 대규모 작전이 시작되었습니다.

프로젝트 측 위치 파악

자산을 회수하려면 먼저 사람을 찾아야 합니다. 커뮤니티 구성원에 따르면, 기술적 수단을 통해 프로젝트 측의 흔적을 수사하는 핵심 작업은 한 DeFi 분야의 KOL Ogle과 그의 팀이 담당했습니다. 그는 또한 이 사건의 피해자 중 한 명입니다.

소통 과정에서 Ogle은 그들이 단서를 얻는 특별한 방법인 코드 습관을 공유했습니다. 커뮤니티 구성원들은 모든 코딩하는 사람은 개인적인 습관을 가지고 있으며, 이러한 습관은 코드 작성 방식에 매우 뚜렷하게 나타난다고 말했습니다. 이러한 흔적은 한 사람의 "글씨체"와도 같습니다. Ogle은 GitHub에서 StableMagnet 코드의 특정 특성을 통해 관련 프로젝트를 찾아냈고, 이러한 관련 프로젝트를 분석하여 프로젝트 측이 홍콩의 한 팀임을 확인했습니다. 조사팀은 다른 단서를 종합하여 프로젝트 구성원이 등록한 회사를 발견하고, 그 회사와 관련된 공개 정보를 통해 다른 관련 구성원들을 성공적으로 찾았습니다.

동시에 바이낸스의 조사 단서도 프로젝트 측이 홍콩에 있을 가능성을 가리켰습니다. 이 소식을 접한 홍콩의 피해자는 곧 홍콩 경찰에 신고했습니다. 동시에 커뮤니티 조사 조직도 프로젝트 측 구성원의 연락처를 확보하고 소통을 시도했습니다. 그러나 팀 구성원들은 모든 연락을 무시하고 소통과 상환을 거부했습니다.

이때 커뮤니티 내에서는 프로젝트 측의 신원을 직접 공개하자는 목소리가 나왔습니다. 핵심 커뮤니티 조사팀이 그들의 개인 정보를 파악하고 있는 것 외에도, 커뮤니티 내에는 "권한을 가지고 있다"고 주장하는 독립적인 익명 조직이 그들의 개인 정보를 확보했다고 주장하며, 직접 개인 정보를 공개하고자 했지만 Ogle의 만류를 받았습니다.

그 후, 핵심 커뮤니티 조사팀은 수차례 프로젝트 측과 Ogle이 연락을 취할 것을 공개적으로 촉구했습니다. 한편으로는 신속한 환불을 촉진하고, 다른 한편으로는 그들의 개인 정보가 인내심을 잃은 독립적인 익명 인물/조직에 의해 노출되어 통제할 수 없는 결과를 초래하지 않도록 하기 위함이었습니다. 그러나 프로젝트 측 구성원들은 이러한 "선의"를 받아들이지 않았습니다.

최적의 기회를 놓치고, 프로젝트 측은 도망쳤다

홍콩 경찰이 사건을 접수했지만, 아마도 절차 문제로 인해 홍콩 경찰은 커뮤니티가 제공한 여러 증거를 신뢰하지 않았습니다. 프로젝트 측이 바이낸스 거래소에 남긴 흔적 덕분에 홍콩 측은 바이낸스에 관련 증거를 제공해 줄 것을 요청했습니다. 그러나 여러 이유로 인해 홍콩 경찰과 바이낸스 간의 소통은 중단되었습니다. 커뮤니티 구성원들은 법 집행 권한이 없었고, 그들이 프로젝트 측의 신원을 확인했더라도 그들을 통제할 수 없었기에, 경찰이 사건 조사를 진행하기를 기다릴 수밖에 없었습니다. 사건은 한동안 교착 상태에 빠졌습니다.

그러나 아마도 팀 구성원들이 압박을 느끼고 커뮤니티가 그들의 신원과 위치를 대략적으로 파악했음을 알게 되었기 때문에, 사건이 정체된 단계에서 급히 영국으로 도망쳤습니다. 그러나 이 팀의 용의자들이 기다리고 있는 것은 시간이 지나 사건이 진정되는 것이 아니라, 새로운 "포위"였습니다.

체포 및 귀환

홍콩의 진행 상황에 대해 모두가 초조해하는 가운데, 커뮤니티 조사팀은 프로젝트 측 팀 구성원이 영국으로 도망친 최신 동향을 발견했습니다. 이것은 사건의 전환점이 되었습니다. 커뮤니티 구성원의 신고에 따라, 영국 경찰은 곧 사건을 접수하고 중범죄 수사팀이 전담하게 되었으며, 영국 경찰은 커뮤니티가 제출한 정보를 바탕으로 영국으로 도망친 프로젝트 측 구성원에 대한 조사를 시작했습니다. 사건이 이 단계에 이르자, 프로젝트 측 팀 구성원이 영국의 어느 곳에 숨어 있는지가 커뮤니티 조사팀과 영국 경찰이 직면한 새로운 문제로 떠올랐습니다.

영국의 방역 정책에 따르면, 영국에 들어가는 모든 여행자는 10일간 자가 격리 및 신고를 해야 합니다. 도망친 프로젝트 측 구성원이 규정에 따라 자가 격리한다면, 이론적으로는 그들의 정확한 주소를 추적할 수 있는 충분한 단서를 수집할 수 있습니다. 그러나 나쁜 소식은 조사팀과 영국 경찰이 이 단서를 포착했을 때, 팀 구성원의 격리 기간이 곧 끝날 가능성이 높다는 것입니다.

Ogle과 커뮤니티 조사팀은 팀 구성원이 머물 가능성이 있는 주소를 추측하고 분석하여 전방위 검색을 진행했습니다. 결국 정보를 입수한 영국 경찰은 프로젝트 측 구성원을 성공적으로 체포했습니다. 체포된 프로젝트 측 구성원은 많은 의심스러운 암호화 전자 장비를 소지하고 있었으며, 이 장비에는 투자자들이 도난당한 자산이 저장되어 있었습니다. 영국 경찰의 노력 덕분에 체포된 프로젝트 측 구성원은 결국 조사를 협조하기로 선택하고, 소지한 범죄 수익을 반환하기로 동의했습니다.

이로써 한 달 이상 지속된, 여러 국가 및 지역이 관련된, 총액이 2400만 달러에 이르는 DeFi 사기 사건은 드디어 중대한 진전을 이루었습니다.

도발과 반격

하지만 사건은 완전히 끝나지 않았습니다. 체포된 구성원이 반환한 자산 총액은 약 2250만 달러였지만, 일부 자산이 분실되었다고 주장했습니다. 게다가 현재 여전히 일부 구성원의 행방이 묘연합니다. 더 기이한 것은 체포된 구성원이 환불을 계획할 때, 수십만 달러에 달하는 자산이 이동되었다는 것입니다. 경찰이 최종적으로 접수한 자산은 정확히 같은 양의 자산이 부족했습니다. 커뮤니티는 도망친 프로젝트 측 구성원이 이를 저질렀다고 의심하고 있으며, 만약 사실이라면 이는 커뮤니티와 경찰에 대한 도발과 다름없습니다.

도발에 직면한 커뮤니티의 독립적인 익명 조직은 더 이상 참을 수 없게 되어 그들의 신원을 공개하기로 결정했습니다. 그들은 도망친 프로젝트 측 인물이 계속 소통을 거부할 경우, 그들의 개인 정보를 더 많이 공개하겠다고 주장했습니다. Ogle을 중심으로 한 핵심 조사팀은 프로젝트 측과의 연락을 통해 모든 자산을 회수하고 커뮤니티를 진정시키기 위해 계속 노력하고 있습니다.

용의자 사진

범죄 수익 반환

환불은 모든 피해자가 가장 관심 있는 문제입니다. 영국 경찰은 91%의 도난 자산을 성공적으로 회수했습니다. 모든 자산은 전 세계 피해자에게 반환될 것입니다. 주목할 점은 일부 지역의 사용자가 법정 화폐 환불을 받기 어려운 점을 감안하여, 커뮤니티 구성원의 노력과 제안에 따라 영국 경찰은 체인 상 환불을 선택했습니다.

영국 경찰이 발표한 뉴스

피해자는 소액 송금을 통해 지갑의 소유권을 검증하고, 일부 지역의 사건 신고 정보 및 KYC/AML 정보를 제출해야 하며, 검증 후 환불을 진행할 수 있습니다. 비록 국내 피해자에게는 이러한 방안이 여전히 실행의 어려움이 있지만, 이는 피해를 입은 투자자에게 최대한의 편의를 제공하고 있으며, 아직 회수되지 않은 10%의 자금에 대해서는 커뮤니티가 영국 및 국제 경찰과 협력하여 모든 자산을 피해자에게 반환하고, 도망친 프로젝트 측 구성원을 추적하기 위해 계속 노력하고 있습니다.

영국 경찰이 커뮤니티 구성원에게 보낸 이메일

현재까지 영국 경찰은 중국 지역의 피해자가 신고 및 사건 접수조차 어려운 점을 인지하고 있으며, 중국 지역 피해자를 위한 환불 절차를 추가로 최적화할 방안을 고려하고 있습니다.

후속 조치

커뮤니티 구성원과 인터뷰를 통해 사건의 전말을 파악한 결과, StableMagnet 사건이 순조롭게 해결된 것은 커뮤니티 구성원의 노력과 경찰의 협력 덕분이라는 것을 알 수 있었습니다. 이는 아마도 좋은 출발점이 될 수 있으며, 향후 유사 사건에 대한 전형적인 사례로 제공될 수 있습니다.

인터뷰의 마지막에, 향후 이러한 사건을 방지하기 위해 어떻게 해야 하는지 묻자, Ogle은 CeDeFi 분야에서 향후 계약 배포에 KYC 요구 사항을 추가하고, DAO 또는 조직이 이를 관리할 수 있을 것이라고 말했습니다. 물론 많은 사람들은 이것이 충분히 탈중앙화되지 않았다고 생각할 것이고, 많은 암호화 애호가들은 이에 관심이 없겠지만, 이 방법은 전통 금융 참여자들에게 환영받을 수 있으며, 그들을 유치할 수 있습니다. 이는 옳고 그름의 문제가 아니라, 어떻게 선택하느냐의 문제입니다. 완전히 탈중앙화된 세계에서 이러한 사건을 피하기 위해서는 참여자들이 무작정 초기에 투자하지 말고, 3-6주 기다렸다가 참여하는 것이 좋습니다. 초기의 초과 수익을 얻지 못할 수도 있지만, 일정한 위험을 피할 수 있습니다.

또한 투자자들은 프로젝트 선택 시 안전성이 더 높은 프로젝트를 선택할 것을 권장합니다. 예를 들어 실명 팀, 코드 검증 가능, Launchpad에서 발행된(예: SAFERmoon), 신뢰할 수 있는 보안 회사의 감사를 받은 프로젝트 등입니다.

마지막으로 Ogle은 악행에는 반드시 대가가 따른다고 말하며, 그는 악행을 저지른 자들이 대가를 치르게 할 것이라고 밝혔습니다. 이는 커뮤니티 조사팀이 이번 사건을 철저히 추적하려는 초심이기도 하며, 이번 사건을 통해 블록체인의 익명성을 악용하려는 모든 이들에게 경고하는 것입니다: "당신이 컴퓨터 화면 뒤에 숨더라도, 현실 세계에서 자신의 행동에 대한 대가를 치르게 될 것입니다."