📖 용어
🔰 초보
🌉 브리지 취약점 Bridge Vulnerabilities
공격자가 크로스체인 브리지의 대규모 예치금 풀을 빼내는 데 이용하는 약점들이에요. 브리지는 모든 사용자의 토큰을 한 곳에 모아 두기 때문에, 집중된 거대한 표적이 됩니다.
💡
흔한 오해 — 브리지 코드가 감사를 받았으면 내 자산은 안전하지 않을까? 꼭 그렇지 않아요! 감사는 도움이 되지만, 역대 최대 해킹은 탈취된 키와 잘못된 업그레이드에서 비롯됐어요. 코드 감사가 잡지 못하는 것들이죠.
🌉 브리지가 하는 일부터
비트코인과 이더리움 같은 체인들은 기본적으로 서로 대화할 수 없어요. 브리지가 이 둘을 연결하는 역할을 하죠. A 체인에서 토큰을 잠가 두고, B 체인에서 그에 대응하는 래핑 토큰을 발행해서 쓸 수 있게 해요. 반대로 돌아올 때는 래핑 토큰을 소각하고 원본을 돌려줘요. 여기서 핵심 문제가 생겨요. 잠금 풀에는 모든 사용자의 예치금이 동시에 쌓이게 됩니다.
🎯 왜 브리지가 이토록 큰 표적일까요
두 나라 사이의 환전소를 상상해 보세요. 이 환전소는 거대한 금고에 예치금을 보관하고, 국경 너머에서 쓸 영수증을 내줘요. 편리하지만, 그 금고는 한 자리에 모인 돈 더미예요. 영수증을 위조하거나 금고 열쇠를 훔친 도둑은 단 한 번의 동작으로 전부 쓸어갈 수 있어요. 브리지도 똑같이 작동해요. 그래서 집중된 표적(honeypot)이 되고, 흩어진 수만 개의 지갑보다 훨씬 이득이 크죠.
🧩 주요 취약점 유형
| 취약점 | 어떻게 문제가 생기나요 |
|---|---|
| 🧾 온체인 검증 허점 | 스마트 컨트랙트가 위조되거나 비어 있는 메시지를 유효한 것으로 받아들임 |
| 📡 오프체인 검증 허점 | 이벤트를 감시하는 서버가 속아 가짜 전송을 승인함 |
| 🪙 네이티브 토큰 처리 오류 | 체인 고유 코인과 래핑 토큰을 계산하는 엣지 케이스 |
| ⚙️ 설정 오류 | 잘못된 업그레이드나 남겨진 권한이 몰래 뒷문을 열어 둠 |
| 🔑 키 탈취 | 공격자가 서명 키를 충분히 확보해 직접 출금을 승인함 |
📌 마지막 항목은 코드 버그가 전혀 아니에요. 사람이 속는 거예요. 주로 소셜 엔지니어링을 통해 벌어지기 때문에, 감사를 통과한 코드도 안전을 보장할 수 없는 거예요.
💥 패턴을 잘 보여 주는 세 가지 해킹
- 🔑 로닌 (2022년 3월, 약 6억 2,500만 달러) — 공격자가 9개 검증인 키 중 5개를 손에 넣었어요. 일부는 스파이웨어가 심긴 가짜 링크드인 채용 제안이 발단이었어요. 코드 버그가 아닌 키 탈취였죠
- 🧾 웜홀 (2022년 2월, 3억 2,500만 달러) — 컨트랙트 결함을 이용해 공격자가 가짜 계정을 주입하고 서명 검사를 건너뛰어, 아무것도 뒷받침되지 않는 wETH 12만 개를 발행했어요
- ⚙️ 노마드 (2022년 8월, 약 1억 9,000만 달러) — 잘못된 업그레이드로 신뢰 루트가 0으로 초기화되면서 거의 모든 메시지가 통과됐어요. 이후 모방 공격자들이 공개적으로 대거 쏟아지며 싹쓸이했죠
📊 브리지 해킹으로 업계가 입은 손실은 수조 원에 달해요. 한 분석에 따르면 누적 28억 달러 이상이며, 2022년이 최악의 해였어요. 크립토에서 가장 큰 위험 지점 중 하나예요.
🚨 내가 챙길 점
- 🛡️ 검증된 역사가 길수록 좋아요 — 화려한 신생 브리지보다, 오래 쓰여 오며 공격을 버텨낸 브리지가 더 믿을 만해요
- 🪙 금액을 나눠서 보내세요 — 한 번에 전 재산을 전송하지 않아도 된다면, 나눠 보내는 게 나아요
- ⏳ 전송 중에 방치하지 마세요 — 목적지 체인에 도착할 때까지는 노출 상태로 취급하세요
- 🚫 감사 통과 = 무적이 아니에요 — 감사는 위험을 낮출 뿐, 없애 주지는 않아요
❓ 자주 묻는 질문
- 브리지 코드가 감사(오딧)를 받았으면 내 자산은 안전한가요?
- 감사는 위험을 낮춰 주지만 안전을 보장하지는 않아요. 역대 최대 피해 사례들은 감사로는 잡을 수 없는 것들에서 비롯됐습니다. 로닌은 검증인 키 탈취, 노마드는 잘못된 업그레이드가 원인이었어요. 코드가 완벽해도 전송을 승인하는 키가 탈취되면 속수무책입니다.
- 왜 공격자들은 브리지를 그렇게 자주 노리나요?
- 브리지는 래핑 토큰을 뒷받침하기 위해 모든 사용자의 예치금을 한 곳에 모아 둬요. 이렇게 집중된 표적 하나를 뚫으면, 흩어진 수만 개의 지갑을 하나씩 털 때보다 훨씬 큰 수익을 얻을 수 있기 때문입니다.
- 브리지를 이용할 때 내 위험을 줄이려면 어떻게 해야 하나요?
- 검증된 기간이 긴 유명 브리지를 쓰고, 한 번에 보내는 금액을 나누며, 전송 중간에 큰 금액을 방치하지 마세요. 어떤 브리지도 위험이 없진 않으니, 자산이 목적지 체인에 도착할 때까지는 노출 상태로 취급하는 것이 좋아요.