GMX V1 공격자, 보상 수령 후 탈취 자산 반환…’해킹 후 명예 회복’ 드라마

디파이 프로토콜 GMX V1을 공격한 해커가 보상을 받은 후 탈취한 자산을 반환하기로 합의했다. 블록체인 보안 업계에서는 '화이트햇 해킹'으로 분류되는 이례적인 사례다.

공격자는 시스템 취약점을 악용해 자금을 탈취한 뒤, 프로토콜 팀과의 협상 끝에 현상금을 받고 자산을 반환하기로 결정했다. 이번 사건은 디파이 생태계의 취약성과 동시에 자체적인 문제 해결 메커니즘을 보여준 사례로 기록될 전망이다.

한 트위터 사용자는 "월스트리트에서는 이런 식으로 도둑에게 보상 주지 않는다"며 전통 금융계를 향한 빈정대는 코멘트를 남기기도 했다. GMX 팀은 향후 시스템 보안 강화를 위해 추가적인 감사와 업그레이드를 진행할 예정이라고 밝혔다.

[디지털투데이 황치규 기자]탈중앙화 파생상품 프로토콜 GMX  V1 GLP 풀이 해킹돼 약 4200만달러 상당 자산이 유출된 이후  공격자가 대부분 자산을 반환하고 바운티(보상)를 받기로 GMX 측과 합의했다고 코인텔레그래프가 11일(현지시간) 보도했다.

해커는 탈취 자산을 프랙스(FRAX)와 이더리움(ETH) 등으로 분산했으며, 일부는 이미 시장에서 수익을 실현한 상태다.

이번 공격은 아비트럼(Arbitrum) 네트워크를 통해 발생했으며, 이후 GMX는 아비트럼과 아발란체(Avalanche)에서 GMX V1 거래 및 GLP 발행·상환 기능을 중단했다. 해당 취약점은 GMX V2 및 GMX 토큰 자체에는 영향을 미치지 않는다.

보안업체 슬로우미스트(SlowMist)는 공격 원인을 gmx V1 설계 결함으로 지목했다.

GLP 가격 산정에 영향을 주는 글로벌 숏 평균 가격이 즉시 갱신되는 구조로 인해  재진입 공격을 통해 인위적으로 GLP 가격을 부풀리고 이를 상환 차익으로 전환할 수 있는 허점이 있었다는 지적이다.

탈취 자산은 서클(Circle) 크로스체인 전송 프로토콜(CCTP)을 통해 아비트럼에서 이더리움으로 이동됐고, 이후 USDC를 DAI로 교환하면서 커뮤니티 내에서는 서클 자산 동결 시스템이 제대로 작동하지 않았다는 비판도 제기됐다. 

이후 상황은 급반전됐다.  공격자는 11일 밤 GMX 측과 합의하고 500만달러 규모 ‘화이트햇 바운티’(WHITE hat bounty)를 받는 조건으로 자산을 반환하기 시작했다. GMX 측은 향후 V1 설계에 대한 전면적인 보완을 예고했다.