솔라나 지갑 대량 탈취…체인 자체 결함 의혹도
오프라인 진출했지만…'셧다운' 등 사고 이어져
한 암호화폐 커뮤니티 대화에서 나온 말이다. 3일 솔라나(SOL) 지갑 대량 암호화폐 탈취 사건이 발생하며 인터넷 밈인 '중대장은 실망했다'를 솔라나에 빗대 표현한 것이다.
3일 솔라나 지갑에 갑자기 이상거래가 감지됐다는 홀더들의 증언이 확산되며 솔라나는 약 9% 급락했다. 오전 8시 30분쯤 수많은 홀더들의 솔라나 지갑에서 암호화폐가 빠져나간 것이다. 솔라나 블록체인 탐색 플랫폼 솔스캔(Solscan) 데이터에 의하면 현재까지 약 8000개 이상의 솔라나 지갑에서 자금이 빠져나갔다. 특히 6개월 이상 비활성화된 지갑에서 피해가 가장 많은 것으로 알려졌다. 블록체인 보안 업체 슬로우미스트(SlowMist)는 한국시간 2022년 8월 8000개 이상의 솔라나 지갑에서 약 5억 8000만 달러(약 7600억원)가 빠져나간 것으로 추산했다. 취약점 공격(exploit, 익스플로잇)을 받은 솔라나 기반 비수탁형 지갑 팬텀(phantom)은 "원인을 찾기 위해 다른 팀과 협력 중"이라며 "팬텀 고유의 문제라 생각하지 않는다"고 밝혔다.
솔라나는 트위터를 통해 "여러 보안회사의 도움을 받아 솔라나 엔지니어가 탈취된 지갑을 조사하고 있다"며 "하드웨어 지갑은 이번 공격의 영향을 받았다는 증거는 없다"고 밝혔다. 솔라나 감사기관 오터섹(OtterSec)는 솔라나 사태가 개인 키 손상에 따른 것으로 추정된다고 분석했다.
그러나 홀더와 분석가들은 개인키가 어떻게 유출됐는지, 어떤 브릿지에서 해킹을 당한 건지, 어떤 취약점을 발견했는지 파악하지 못한 채 솔라나 지갑에서 자금이 빠져나가는 것을 두고 '체인 자체 결함', '월렛 자체의 중대적 결함'을 지적했다. '잊을만하면'이라는 말이 적절하다.
해당 스마트폰은 암호화폐 지갑, 웹3, NFT에 관심이 많은 이용자를 타깃으로 내놓은 제품으로, '암호화폐 관리에 최적화된 스마트폰'이라는 설명이다. 솔라나 기반 탈중앙화 애플리케이션(DApp, 디앱)을 지원하고 NFT 거래 앱과 NFT 마켓플레이스 앱, 암호화폐 거래소 오르카 앱 등이 탑재됐다. 특히 지갑을 복구를 위한 여러 개의 단어인 '니모닉'을 보관하는 기능이나 디앱 스토어의 경우 수수료가 없는 점 등은 좋은 평가를 받았다.
솔라나의 오프라인 진출은 계속 이어졌다. 지난 7월 말에는 미국 맨해튼의 허드슨야드(Hudson Yards)의 쇼핑몰 더 샵(The Shops)에 오프라인 매장을 열고 관련 기기와 굿즈 판매, NFT나 팬텀 지갑 등 솔라나 디앱의 설명 등을 진행했다.
솔라나는 지난 5월 7시간 동안 네트워크가 먹통이 되며 "이 정도면 체인이 아예 잘못 개발된 것 아니냐"는 비판을 받은 바 있다. 이어 6월 2일 오전 2시에도 새로운 블록 생성이 중단되면서 약 4시간 30분 가동이 정지됐다. 업비트, 빗썸 등 국내 주요 암호화폐 거래소들도 SOL 입출금을 일시 중단했다.
이같은 솔라나의 메인넷 셧다운(shutdown, 시스템 작동 중지)은 해당 프로젝트의 기술적 결함이 있는 것으로 비칠 수 있다. 솔라나는 셧다운 원인을 블록체인의 '내구성 있는 논스 트랜잭션'(Durable Nonce Transaction) 버그 때문이라고 분석했다. 논스는 블록체인에서 목푯값 이하 블록 해시를 찾기 위해 임시로 사용하는 숫자다. 해당 버그로 노드들이 동일한 블록에 대해 서로 다른 결과를 생성해 네트워크가 정지했다는 설명이다.
솔라나는 나스닥 거래소 운용을 염두해 설계됐다. 때문에 최대 71만 TPS(초당거래건수)라는 압도적인 전송속도와 값싼 수수료로 생태계를 확장하는 장점이 있다. 그러나 속도가 빠르고 수수료가 낮으면 통상 분산서비스거부(DDoS, 디도스)에 취약하다는 단점이 있다. 앞에 설명한 셧다운도 디도스 공격에 의한 것으로 알려졌다. 해커가 감염시킨 컴퓨터(Bot, 봇)들을 한번에 하나의 서버로 집중해 과한 트랜잭션을 일으켜 서버를 다운시키는 공격이다. 다만 디도스 공격을 할 때 일어나는 트랜잭션도 가스비가 필요해 이더리움처럼 가스비가 비싼 곳에서는 일어나기 힘들다. 이는 개발 측에서도 분명히 염두 해야 하는 부분이다. 솔라나를 향한 디도스 공격은 지난해만 3차례 이상 발생했다.
솔라나는 지난 5월 7시간 중단 사고로 한동안 30분 이상 동기화가 늦춰진 상태로 네트워크를 운영했다. 동기화 지연 문제를 해결하는 과정에서 충분히 새로운 문제가 발생했다고 의혹을 제기할 수 있는 대목이다. 암호화폐 공시 플랫폼 쟁글은 '크립토 평가 보고서'를 통해 "탈중앙화 수준도 빠른 속도로 개선되고 있으나, 셧다운으로 인한 중앙화·안정성 논란이 존재한다"고 평가했다.
이번 솔라나 사태는 불안정성 논란에도 '시총이 높다' 혹은 '가격이 오른다' 등을 이유로 특정 암호화폐를 무조건적으로 수용하는 편향된 인식에 경종을 울린다.
김건주 기자 kkj@