3일 암호화폐 전문매체 더블록이 인용한 보안 회사 베오신(Beosin)의 최신 데이터에 따르면, 알려지지 않은 공격자가 2일(현지시간) 폴리 네트워크(Poly Network)에 대한 보안 취약점 공격 후 1,000만 달러 이상의 이더리움을 교환했다.
폴리 네트워크는 서로 다른 블록체인 간에 자산 전송을 용이하게 하는 교차 체인 브릿지(cross-chain bridge)다. 이번 공격을 통해 해커는 총 57개의 서로 다른 토큰을 각각의 블록체인에서 발행할 수 있었으며, 여기에는 이더리움, BNB체인, 메티스 및 폴리곤 등이 포함됐다.
베오신에 따르면, 익스플로잇(취약점 공격) 이후 해커의 암호화폐 지갑은 340억 달러가 넘는 장부상 가치를 나타냈다. 그러나 이 값은 영향을 받는 체인의 현저한 유동성 부족으로 인해 공격자의 실제 이득으로 변환되지 않은 것으로 알려졌다.
인위적으로 발행된 토큰 중 극히 일부만이 이더리움 및 바이낸스 스마트 체인 네트워크에서 이더리움(ETH)으로 교환이 됐으며, 이는 총 5,196 ETH로 1,010만 달러(약 131억원) 상당에 달했다는 게 베오신의 설명이다.
이번 공격을 두고 보안 분석가들은 폴리 네트워크에 대한 공격이 계약 논리 내의 특정 취약성 때문이 아니라 플랫폼의 주요 스마트 계약에서 사용되는 ‘개인 키의 손상 혹은 도난’에서 비롯됐을 수 있다고 진단했다. 이는 프로젝트의 주요 스마트 계약을 구동하는 4개의 관리자 지갑 중 3개의 개인 키가 손상된 것과 관련이 높으며, 폴리 네트워크 측은 아직 이에 대한 응답을 내놓지 않은 상황이다.
이 사건은 폴리 네트워크의 두 번째 주요 익스플로잇 사건으로, 2021년 당시에 한 해커가 프로젝트에서 6억 1,100만 달러 상당의 자산을 훔쳤는데 이는 지금까지 가장 큰 암호화폐 해킹 사건 중 하나로 간주된다. 당시 탈취된 자금은 반환됐다.
한편, 사건 발생 후 폴리 네트워크는 서비스 중단을 발표하고 가해자를 식별 및 자금을 회수하기 위해 중앙 집중식 거래소, 법 집행 기관 등과 적극적으로 협력하고 있다고 발표했다.
중앙 집중식 거래소는 의심스러운 활동을 추적하고 불법적으로 발행된 토큰과 관련된 거래를 중단할 수 있는 권한을 갖고 있기 때문에 이러한 사건 발생 시 유용한 도움을 줄 수 있다.