미국 온라인 테크 매체 Ars테크니카가 블록체인 스타트업 모노엑스 파이낸스(MonoX Finance)의 소프트웨어 버그 문제 때문에 금전 피해가 발생한 소식을 보도했다.
모노엑스 파이낸스는 탈중앙화 금융 프로토콜인 모노엑스(MonoX)를 개발한다. 그리고, 사용자가 기존 거래소와 같은 요구사항을 충족할 필요 없이 자체 발행 디지털 화폐인 모노(MONO) 토큰을 거래하도록 한다.
그러나 모노엑스 파이낸스의 소프트웨어에 회계 오류가 발생하면서 해커가 이를 악용했다. 일부 해커 세력이 모노 토큰 가격을 부풀리고, 다수 사용자가 예치한 다른 가상자산을 모두 인출했다.
모노엑스는 두 토큰의 새로운 가격을 계산하고, 각각의 교환 후 가격을 업데이트한다. 교환 완료 후, 사용자가 보낸 토큰 가격은 감소(토큰인, TokenIn)하고, 반대로 사용자가 받는 토큰 가격은 상승(토큰아웃, TokenOut)한다.
해커는 토큰인과 토큰아웃 과정에 모두 모노 토큰을 사용해, 가격을 부풀린 뒤, 모노엑스의 기반이 되는 블록체인인 이더리움(Ethereum, ETH) 블록체인과 폴리곤(Polygon, MATIC) 블록체인에서 모노 토큰을 총 3,100만 달러 상당의 토큰으로 교환했다.
토큰인과 토큰 아웃에 같은 디지털 화폐를 사용할 수 있었던 원인은 확실하지 않다. 그러나 모노엑스가 올해만 보안 감사를 3차례 받았다는 점에서 오류를 예방하지 못한 비판을 피하기 어려울 듯하다.
스마트 계약 전문가이자 보안 컨설팅 기업 트레일 오브 비츠(Trail of Bits) CEO인 단 귀도(Dan Guido)는 "모노엑스에 발생한 공격 유형은 스마트 계약에서 비교적 흔하다. 다수 개발자가 자신의 코드에 대한 보안 속성을 철저히 정의하려 하지 않기 때문이다"라며, "감사를 진행했어도 주어진 시간에 코드를 확인했다고만 진술하면 감사 효과가 제한된다"라고 말했다.
이어, 그는 "대다수 소프트웨어에는 취약점 완화가 필요하다. 취약점을 적극적으로 찾고, 취약점을 사용하는 동안 안전하지 않을 수 있음을 인정하며, 취약점 악용 시기를 탐지할 수 있는 시스템을 구축한다"라며, "스마트 계약에는 취약점 제거가 필요하다. 소프트웨어 검증 기법은 계약이 의도한 대로 작동한다는 입증 가능한 보장을 제공하기 위해 널리 사용된다. 스마트 계약의 보안 문제는 대부분 개발자가 후자가 아닌 전자의 보안 방식을 채택할 때 발생한다. 출시 즉시 활용된 많은 계약과 더불어 크고 복잡하며 가치가 높은 스마트 계약과 프로토콜이 많다"라고 설명했다.
한편, 블록체인 분석 기업 엘립틱(Elliptic)은 최근, 자체 보고서를 통해 "스마트 계약 기술의 성숙도가 상대적으로 낮은 탓에 해커 세력이 사용자 자산을 탈취하는 문제가 발생할 수 있다. 그와 동시에 깊은 유동성 풀을 악용해 랜섬웨어나 사기 등 범죄 자금을 세탁하는 문제도 있다. 이는 불법적인 의도로 탈중앙화 기술을 악용하는 광범위한 추세 중 일부분이다"라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[윤창원 칼럼] 종교 인도적 지원, 어디로 가야 하나](/news/data/2025/11/20/p1065576646891237_449_h.png)
![[구혜영 칼럼] 카르텔의 서늘한 풍경](/news/data/2025/11/03/p1065592872193525_800_h.png)
