2022년 암호화 분야에서 웃음과 눈물을 자아낸 황당한 순간들 정리

작성자: iambabywhale.eth, Foresight News

2022년이 막바지에 이르렀고, 올해 Web3 세계는 글로벌 경제와 함께 저조한 상황에 빠졌습니다. 거시 경제 환경 외에도 Terra, Three Arrows Capital, Celsius, FTX 등 기관들의 잇따른 폭락은 본래 거시 경제 환경의 영향을 받던 Web3 분야에 더 심각한 타격을 주었습니다.

시장 상황은 계속 하락세를 보이며, 연말이 다가와도 회복의 기미가 보이지 않습니다. 계속될 가능성이 높은 "암호화 겨울" 속에서, 올해 여러 Web3 프로젝트의 우스꽝스러운 순간들을 함께 되돌아보며 다가오는 2023년을 가벼운 마음으로 맞이해 보겠습니다.

이미지 출처: Foresight News

파라미터 오류, 보상이 '선지급'

올해 초 NFT 시장 X2Y2의 ILO는 시장의 큰 주목을 받았고, 거래 수수료를 전부 보유자에게 분배하는 모델은 X2Y2에 대한 '탈중앙화 OpenSea'의 기대를 불러일으켰습니다. NFT 시장이 여전히 뜨거운 상황에서 X2Y2 토큰은 잠시 상승한 후 계속 하락했으며, 모든 사람들이 놀라던 중 프로젝트 팀은 스테이킹 보상 계약의 초기 파라미터 설정에서 오류가 발생했음을 발견했습니다. 파라미터 오류로 인해 X2Y2는 처음 계획했던 18%가 아닌 처음 30일 동안 총 보상의 56%인 2억을 분배했습니다.

위쪽은 계획된 보상 수량, 아래쪽은 실제 보상 수량

이 실수는 많은 기대를 걸었던 사용자들에게 받아들이기 어려운 일이었습니다. 이후 X2Y2는 이 실수로 인한 결과를 최소화하기 위해 토큰 소각 계획을 시작했습니다. 현재 X2Y2는 NFT 시장에서 중견 세력으로 성장했으며, 당시의 실수는 점차 잊혀지고 있습니다.

전송 주소 오류, 120개의 검증 노드가 아무도 발견하지 못함

올해 초, Cosmos 생태계의 두 프로젝트 Evmos와 Juno는 ATOM 스테이커에게 에어드랍을 하며 잠시 주목을 받았지만, 두 프로젝트의 에어드랍과 메인넷 출시는 어려움이 많았습니다. 그 중 Juno는 비정상적인 작업을 여러 번 수행했습니다.

먼저, 수백만 개의 JUNO 토큰을 받은 대규모 보유자가 일부를 현금화하자 Juno 커뮤니티의 주목을 받았고, 결국 그 거대한 고래의 보유량을 300만 개에서 5만 개로 줄이는 비정상적인 제안이 탄생하여 통과되었습니다. 그러나 해당 고래가 에어드랍 규칙의 허점을 이용해 많은 토큰을 얻었고, 대부분을 스테이킹에 사용할 것이라고 약속한 후 지속적으로 판매했기 때문에 이러한 '중앙화' 제안은 어느 정도 이해할 수 있었습니다.

그 후, 더욱 놀라운 일이 발생했습니다. 한 개발자가 커뮤니티 주소로 전송해야 할 300만 개의 JUNO를 잘못된 주소로 전송했으며, 더욱 놀라운 것은 전 네트워크의 120개 검증 노드가 수신 주소의 오류를 전혀 발견하지 못했다는 것입니다. 이후 커뮤니티는 다시 제안을 제출하여 해당 자금을 커뮤니티 주소로 돌려보내야 했고, 이 소동은 그렇게 마무리되었습니다.

코드에 취약점 존재, 사용자가 '세계 최고 부자'가 될 뻔함

NEAR의 원주율 초과 담보 안정화 USN의 발행사인 Decentral Bank는 알고리즘 스테이블코인의 가장 짧은 생애주기를 창조했다고 할 수 있습니다: 6개월. FTX와 Alameda Research는 NEAR의 주요 투자자 중 하나로, 이들의 파산은 NEAR의 가격을 하락시키고 USN의 담보 비율을 부족하게 만들어 결국 NEAR는 USN을 포기하게 되었습니다.

시장 환경이 악화되고 미래가 불확실한 상황에서 NEAR가 비용 절감을 위해 단호한 결정을 내린 것은 나쁘지 않은 선택일 수 있지만, 오늘 우리가 이야기할 것은 사건 자체가 아닙니다.

올해 7월 8일, USN이 공식 출시된 지 두 달이 넘었을 때, USN에서 Decentral Bank를 통해 USDT로 교환할 때 사용자가 USDT가 없으면 거래가 실패하게 되고, 계약 환불 시 카운팅 오류로 인해 환불 수량이 1조 배로 확대되는 큰 취약점이 발견되었습니다. 한 사용자가 5개의 USN을 사용하여 USDT로 교환할 때, 이 취약점으로 인해 두 번의 시도 후 계약이 거의 10조 개의 USN을 환불했습니다.

다행히 이 취약점은 광범위하게 이용되지 않아 돌이킬 수 없는 손실을 초래하지 않았습니다. 알고리즘 스테이블코인의 안전성이 점점 더 많은 의문을 받고 있는 가운데, 스테이블코인이 중요한 전략적 가치를 지니고 있지만, 출시 여부와 시기 등은 잘 조절해야 합니다.

Wintermute가 잘못된 수신 주소에 돈을 빌려줌

이더리움 2층 네트워크 Optimism의 에어드랍은 올해 약세장 속에서 몇 안 되는 핫이슈 중 하나였지만, 뒤따른 몇 가지 작업은 이 자금 조달이 수억 달러에 달하는 스타 프로젝트를 실망하게 만들었습니다.

첫 번째 비정상적인 작업은 6월에 발생했지만, 이야기의 주인공은 Optimism이 아니라 5000만 달러를 담보로 2000만 개의 OP를 시장 조성을 위해 빌린 시장 조성업체 Wintermute입니다. 팀 내부의 실수로 Wintermute는 사전에 준비된 Optimism 주소가 아닌 이더리움 메인넷에 배포된 Gnosis Safe 다중 서명 지갑 주소를 Optimism에 제공했습니다. 이 비정상적인 실수로 인해 해커는 재전송 공격을 통해 2000만 개의 OP를 탈취했습니다. 이후 해커는 100만 개의 OP를 이더리움으로 거래하고, 100만 개를 이더리움 창립자 비탈릭 부테린 주소로 전송한 후 1700만 개의 OP를 반환했습니다. 마지막으로 Wintermute는 나머지 200만 개의 OP를 반환하겠다고 밝혔고, 이야기는 그렇게 끝났습니다.

연간 인플레이션율이 10배 잘못 증가, Optimism 긴급 '제로' 조치

이야기를 이어서, 두 번째 사건은 10월에 발생했습니다. Optimism은 트위터에서 OP 토큰 출시 시 총 공급량이 매년 2%의 속도로 인플레이션될 것이라고 발표했지만, 계약을 배포할 때 해당 비율이 20%로 잘못 설정되었습니다. 오늘 늦게 계약 논리를 예상했던 2%로 업데이트할 것입니다. 다행히 OP의 인플레이션은 2023년부터 시작되므로 큰 영향을 미치지 않았습니다.

Optimism, Wintermute, Juno와 X2Y2는 모두 주소나 파라미터를 잘못 설정하는 저급한 실수를 범했습니다. 이는 되돌릴 수 없는 체인 거래에 대해 신중하고 조심해야 한다는 것을 알려줍니다.

출금 금액 잘못 입력, 사용자 천만 달러 상금 획득

FTX가 파산 신청한 후 가장 먼저 FUD를 받은 암호화폐 거래소 중 하나인 Crypto.com은 공개된 준비금 정보를 통해 잠시 '버텼지만', 올해 이 거래소도 몇 가지 '어리석은 일'을 저질렀습니다.

첫 번째 사건은 올해 발생한 것은 아니지만, 올해까지도 제대로 해결되지 않았습니다. 2021년 5월, 두 명의 멜버른 여성 사용자가 암호화 거래소 Crypto.com에서 100 호주 달러를 출금할 때 1050만 호주 달러를 받았고, 2021년 12월 연간 감사에서 Crypto.com이 이를 발견했습니다. Crypto.com에 따르면 한 직원이 지급 시 계좌 번호를 출금 금액으로 잘못 입력하여 대규모 자금이 잘못된 은행 계좌로 전송되었고, 이후 Crypto.com은 소송을 제기했으며, 빅토리아주 고등법원은 8월에 이 자금이 해당 회사에 반환되어야 한다고 판결했습니다.

수억 달러 자산이 '잘못 전송'되었나?

첫 번째 사건은 이해할 수 있지만, 두 번째 사건은 의문이 많습니다. 11월 13일, 트위터 사용자 @jconorgrogan은 체인 상의 데이터가 Crypto.com의 특정 주소가 10월에 약 28.5만 개의 ETH를 거래소 Gate.io 주소로 전송한 후, 며칠 후 Gate.io가 이를 Crypto.com의 다른 주소로 반환했다고 주장했습니다. 그러나 이 두 주소는 이후 Crypto.com이 공개한 오프라인 저장 사용자 자산의 콜드 월렛 주소 목록에 모두 나타났습니다. Crypto.com의 CEO Kris는 "이것은 새로운 콜드 월렛 주소여야 하지만, 화이트리스트의 외부 거래소 주소로 전송되었습니다. 우리는 Gate.io 팀과 협력하여 자금이 이후 우리의 콜드 월렛으로 반환되었습니다. 이러한 일이 다시 발생하지 않도록 새로운 프로세스와 기능을 구현했습니다."라고 답변했습니다.

Kris의 말에 따르면, Crypto.com은 수억 달러 가치의 이더리움을 잘못 Gate.io로 전송한 것으로 보입니다. 사실이라면, 이러한 실수는 너무나도 어이없어 Crypto.com을 직접적으로 위협할 수 있습니다. 그러나 많은 사람들은 이 조치가 준비금 증명을 위한 차입 행위일 가능성이 있다고 추측하며, 진짜 상황은 당사자들만 알 것입니다.

공격을 방지하기 위해 스스로를 먼저 공격함

베이징 시간 11월 4일, Gala Games는 pNetwork를 통해 BNB 체인으로 전송된 pGALA 토큰이 거의 제로에 가까운 폭락을 겪었습니다. 이후 체인 상의 정보를 통해, 한 미지의 주소가 BNB 체인에서 10억 달러 가치의 pGALA 토큰을 무작위로 발행하고 pGALA/BNB 유동성 풀을 거의 소진했다는 사실을 알게 되었습니다.

모두가 이것이 전형적인 해커 공격이라고 생각했지만, 2일 후…

베이징 시간 11월 6일, pNetwork 팀은 GALA의 pNetwork 크로스 체인 브릿지의 구성 오류를 발견했습니다. 구성 오류로 인해 BNB 체인에 배포된 pGALA 스마트 계약의 소유권이 해커에게 넘어갔습니다. 해당 자금 풀에 관련된 자금은 40만 달러였으며, 당시 해당 스마트 계약 소유권을 얻은 공격자는 어떤 공격도 감행하지 않았습니다.

이후 pNetwork는 Gala Games에 연락하여 크로스 체인 브릿지를 중단하기로 결정하고, 화이트 해커 작전을 통해 pGALA/BNB PancakeSwap 풀의 유동성을 소진하여 BNB를 보존하려고 했습니다. 상황이 통제된 후 자금이 모든 유동성 제공자에게 반환될 수 있도록 하기 위해서였습니다.

이후 우리가 목격한 것은 대량 발행과 가격 폭락이었습니다. pNetwork가 유동성 풀을 소진한 방식이 합리적인지는 차치하고, 처음에 이 문제를 명확히 하지 않아 Huobi가 즉시 충전 통로를 닫지 않아 차익 거래의 사건이 발생했습니다. 이렇게 자가당착적인 행동은 확실히 바람직하지 않습니다.

6억 달러가 도난당하고, 프로젝트 측은 뒤늦게 알게 됨

올해 3월, Axie Infinity의 사이드 체인 Ronin Network가 해커의 공격을 받아 17.36만 개의 ETH와 수천만 개의 USDC, 총 6억 달러 이상의 자산이 도난당했습니다. 공격자는 도난당한 자산을 이동시키는 데 거의 두 달이 걸렸습니다. 이번 사건은 북한 해커 팀의 소행으로 의심되며, 이들은 가짜 오퍼를 통해 기술자의 컴퓨터를 침해하여 Ronin Network의 일부 검증 노드를 제어하게 되었고, 결국 유동성 자금의 통제권을 얻었습니다.

가장 의문스러운 점은 자금 도난 사건이 3월 23일에 발생했지만, 프로젝트 팀은 29일에 크로스 체인 시도 중 유동성이 전혀 없음을 발견하고서야 자금이 도난당했음을 깨달았다는 것입니다. 이로 인해 도난당한 자금을 구출할 최적의 기회를 놓쳤습니다. 마지막으로 일부 자금은 프로젝트 팀과 법 집행 기관 등에 의해 차단되었지만, 대부분의 자금은 여전히 해커의 손에 넘어갔습니다.

물론 이번 사건의 선지자도 별로 이득을 보지 못했습니다. 암호화 KOL Cobie는 프로젝트 측이 자금 도난을 공개한 후, 6일 전 Axie Infinity의 사이드 체인 Ronin Network가 6억 달러를 도난당했다고 발견하고 AXS를 고레버리지로 공매도했습니다. 6일 동안 아무도 해커의 존재를 인지하지 못했기에, 공매도 후 24시간 내에 청산되었습니다.

우크라이나: 에어드랍 기대를 통한 기부 1위 국가

명백히 우크라이나 정부는 Web3 프로젝트 측이 아니지만, 에어드랍 기대를 이용해 기부를 유도하는 방식은 정말 전문적이라고 할 수 있습니다.

시간을 올해 초로 되돌리면, 우크라이나와 러시아 간에 작은 전쟁이 발발했습니다. 이후 우크라이나 정부와 일부 제3자가 암호화폐 기부 채널을 열었습니다. 우크라이나 정부는 이후 기부자에게 에어드랍을 진행할 것이라고 발표하고, 베이징 시간 3월 2일 0:00에 스냅샷을 진행할 것이라고 알렸습니다. 스냅샷 시간 발표 당일, 기부 금액은 5000만 달러를 초과했으며, 본래 기부 의사가 없던 암호화폐 사용자들도 '에어드랍'을 위해 기부 대열에 참여했습니다.

모두가 에어드랍 지급을 기대하며 기다리고 있을 때, 우크라이나 부총리 Mykhailo Fedorov는 스냅샷 시간 발표 다음 날 트위터에서 신중한 고려 끝에 에어드랍을 취소하고, 우크라이나 군대를 지원하기 위한 NFT 발행 계획을 곧 발표할 것이라고 밝혔습니다.

이러한 행동은 본래 우크라이나를 돕고자 하는 사람들에게는 영향을 미치지 않았겠지만, 에어드랍을 위해 기부한 사람들에게는 큰 불만을 초래했습니다. 이후 우크라이나 정부는 다양한 '플레이'를 통해 기부를 유도했지만, 번복된 행동은 분명 많은 사람들을 실망시켰고, 그들은 스스로를 '반撸'당했다고 자조적으로 표현했습니다.