[이코리아] ‘엑시인피니티’ 개발사가 수천억 원대 해킹 피해를 입었다. 이번 사태를 계기로 전문가들은 웹3 시장 규제 및 이용자 보호 제도의 필요성을 제기했다.

엑시인피니티는 베트남 게임사 스카이마비스가 서비스하는 게임이다. 게임 내 자산을 팔아 이용자가 수익을 얻을 수 있는 대표적인 웹3게임(P2E게임)이다.

스카이마비스는 자사 디파이(DeFi, 탈중앙화 금융시스템) ‘로닌네트워크’가 해킹당했다고 30일 밝혔다. 로닌은 엑시인피니티 생태계 토큰인 AXS·SLP와 이더리움·USDC(달러 연동 스테이블코인)를 교환해주는 시스템이다.

로닌에 따르면 해커들은 지난 23일 17만3600이더리움과 2550만USDC를 탈취했다. 당시 해당 이더리움과 USDC 가치는 5억4000만 달러(약 6500억 원)였다. 이는 지난해 6억1100만 달러(7400억 원) 상당을 도난당한 폴리네트워크에 이은 두 번째 규모의 디파이 해킹 피해 사례다.

현재 로닌은 입출금 기능을 일시중단했다. 도난당한 가상화폐는 블록체인 데이터 분석기업 체이널리시스와 추적하고 있다. AXS·SLP·RON은 안전하다고 밝혔다.

해커들의 수법은 검증자 권한을 악용하는 것이었다. 로닌에서 가상화폐를 인출하려면 9개의 검증자 서명 중 5개가 필요한데, 해커가 이를 제어할 수 있었다. 로닌은 다른 사이버공격에 대비하기 위해 임계값을 8개로 늘린 상태다.

블록체인 또는 금융 전문가들은 이번 사태가 웹3 시장의 취약점을 드러냈다고 지적했다. 로닌은 해킹 시점으로부터 일주일이 지나서야 피해 사실을 인지하기도 했다.

미국 방송 CNN에 따르면 존 리드 스타크 전 미국 증권거래위원회 위원은 “웹3 시장이 사이버공격에 얼마나 취약한지를 일깨워준다”며 “시장 전체가 정비되지 않아 무슨 일이 일어났는지 알 수도 없고, 업체는 해킹 피해 사실을 보고할 의무도 없다”고 설명했다.

로닌이 도난당한 가상화폐를 회수할 수 있을지도 미지수다. 블록체인 솔루션 기업 머클사이언스의 리샤브 라이 연구원은 “이번 해킹 피해를 회복할 가능성은 낮다”며 “더 큰 가상자산 해킹 사건에서도 회수하는 일은 매우 드물다”고 말했다.

다만 해커들이 탈취한 가상화폐들이 거래소에서 유통되지 않을 수 있다는 시각도 있다. 미국 일간지 워싱턴포스트는 “감시를 피해 달러로 교환하는 일이 가장 큰 난관”이라며 “해커들이 돈을 훔치는 것은 과정의 절반에 불과하다”고 보도했다.

로닌은 엑시인피니티 이용자들의 자금을 보호할 것이라고 밝혔다. 일각에서는 로닌이 도난당한 가상자산을 회수하지 못할 경우, AXS를 매도해 보상을 마련할 것이라는 의견도 나온다.