Connext 에어드랍 소동: 버그 해프닝과 끝이 없는 마녀 사냥

저자: 진소봉, Odaily 스타구日报

2주를 기다린 끝에 Layer 2 상호운용성 프로토콜 Connext가 드디어 에어드랍 신청을 열었지만, 해프닝이 발생했다.

신청이 열린 지 반 시간도 채 지나지 않아, 암호화 KOL 「주주 Bang」이 글을 올리며 Connext 에어드랍 계약에 취약점이 있는 것으로 보인다고 주장했다. 그는 "과학자"가 이 취약점을 이용해 다른 사용자들의 NEXT 에어드랍을 무한으로 탈취할 수 있다고 하며, 0x44Af로 시작하는 주소 (클릭하여 이동)에서 빈번한 신청 기록을 첨부했다.

이 소식은 커뮤니티에서 널리 퍼졌고, 이후 사용자들이 블록체인 정보를 분석한 결과 0x44Af로 시작하는 주소는 오늘 공식적으로 생성되었으며, 에어드랍이 열린 후 230회 이상 신청을 했고, 받은 토큰은 모두 판매되어 ETH, USDT 및 USDC로 교환되었으며, 약 3.9만 달러의 수익을 올렸다는 사실이 밝혀졌다.

이때 Connext 에어드랍 계약에도 문제가 발생하여 일부 사용자는 에어드랍을 성공적으로 받을 수 없다고 보고했고, 커뮤니티에서는 공식이 취약점 때문에 에어드랍 신청을 중단했다는 소문이 돌기 시작했다.

하지만 사실은 Connext 에어드랍 계약에는 취약점이 없었다.

암호화 KOL 「주주 Bang」은 Connext 에어드랍 계약이 안전하다고 밝혔으며, 자신의 초기 분석이 독자를 오도했다고 말했다. 그는 Connext 에어드랍 계약이 에어드랍 발신자와 수신자가 서로 다른 주소일 수 있도록 규정하고 있지만, 호출하기 위해서는 원래 주소의 서명이 필요하다고 설명했다.

"먼저 신청 방법은 claimBySignature이며, 마지막 매개변수는 서명 정보를 전달하는 것입니다. 이 '서명'은 사용자가 스마트 계약이나 다른 방법을 이용해 호출하여 반환받는 것입니다. 따라서 우리는 _signature를 증명서로 이해할 수 있습니다. _recipient 사용자는 이 증명서를 가지고 _beneficiary 주소의 토큰을 받을 수 있습니다." 그는 0x44Af로 시작하는 주소가 스튜디오에서 토큰을 집계하기 위한 것이지, 계약 자체에 취약점이 있는 것이 아니라고 덧붙였다.

스마트 계약 일부 정보

슬로우 보안 팀은 Odaily 스타구日报에 Connext 에어드랍 계약에 명백한 취약점이 존재하지 않아 다른 사람이 에어드랍을 부정 수령할 수 없다고 밝혔다.

사용자는 NEXT Distributor 계약의 claimBySignature 함수를 통해 NEXT 토큰을 받을 수 있으며, 여기에는 recipient와 beneficiary 역할이 존재한다: recipient 역할은 claim한 NEXT 토큰을 받는 데 사용되고, beneficiary 역할은 NEXT 토큰을 받을 자격이 있는 주소로, Connext 프로토콜이 에어드랍 자격을 발표할 때 이미 결정된다. 사용자가 NEXT 토큰을 claim할 때, 계약은 두 번의 검사를 수행한다: 첫 번째는 beneficiary 역할의 서명을 확인하고, 두 번째는 beneficiary 역할이 에어드랍을 받을 자격이 있는지를 확인한다.

첫 번째 검사에서는 사용자가 전달한 recipient가 beneficiary 역할에 의해 서명되었는지를 확인하므로, 임의로 recipient 주소를 전달하더라도 beneficiary 서명 없이 검사를 통과할 수 없다. 특정 beneficiary 주소를 지정하여 서명을 구성하더라도 서명 검사를 통과할 수 있지만, 두 번째 에어드랍 수령 자격 검사를 통과할 수는 없다. 에어드랍 수령 자격 검사는 머클 증명을 통해 확인되며, 이 증명은 Connext 프로토콜 공식에서 생성해야 한다. 따라서 에어드랍을 받을 자격이 없는 사용자는 검사를 우회하여 다른 사람의 에어드랍을 받을 수 없다.

위의 분석을 요약하자면, 사용자 A 주소가 수령 자격이 있다면 B에게 수령을 위임할 수 있으며, 이번 0x44Af로 시작하는 주소가 이렇게 많은 토큰을 수령할 수 있었던 이유는 해당 실체가 여러 자격 있는 주소를 제어하여 이를 위임했기 때문이지 해커가 취약점을 이용해 공격한 것이 아니다.

흥미로운 점은, 에어드랍이 열리기 전 Connext가 마녀 주소에 대해 "소탕" 작전을 진행했으며, 커뮤니티에 마녀 주소를 선별하는 데 도움을 요청하고, 회수한 NEXT의 25%를 신고자에게 보상으로 제공하겠다고 밝혔다. 공식 데이터에 따르면, 최종적으로 5,725개의 마녀 주소가 식별되어 자격 목록에서 삭제되었고, 5,932,065개의 토큰이 회수되었다.

하지만 오늘 밤의 상황을 보면, 반 마녀 작전이 여전히 거대한 누수를 남겼고, 전체 에어드랍에 많은 장애를 추가했다.

Connext의 핵심 기여자 Arjun Bhuptani는 0x44Af로 시작하는 주소가 마녀 봇이며, 이 봇이 Tokensoft 백엔드에 대량의 쓰레기 요청을 보내 API가 다운되게 만들었다고 밝혔다. 이것이 에어드랍 신청 인터페이스가 작동하지 않는 이유일 수도 있다. (Odaily 주: 다른 사람들이 신청하지 못하도록 방지하려는 의도가 있을 수 있다.)

좋은 소식은, 공식이 이 문제를 인지했으며, 에어드랍이 다시 열릴 것이라는 점이다. Connext는 "우리는 에어드랍 웹사이트에 영향을 미치는 문제를 인지했으며, 사용자들이 수령할 수 없게 되었습니다. 우리는 로봇 활동으로 인해 우리의 파트너 및 서비스 제공업체 서버인 Tokensoft가 과부하되었음을 감지했습니다. 그들은 정상적인 청구를 위해 이 문제를 해결하기 위해 적극적으로 노력하고 있습니다. 모든 것이 곧 정상으로 돌아올 것입니다."라고 발표했다.