암호화폐 거래소의 보안 허점을 이용하면 토큰의 복사도 가능한가요?
암호화폐 거래소의 보안 허점을 이용해서 토큰이 복사된 적이 있다는 말을 들었는데요,
블록체인이라면 토큰의 복사라는 것이 일어나면 안 되는 것이 아닌가요?
그런데 토큰 복사가 어떻게 가능하다는 것인지 잘 모르겠어요ㅠ
관련 사례가 있다면 소개와 함께 답변 부탁드려요~^^
실제로 가능한 일입니다. 하지만 이것은 블록체인 상의 문제점이라기 보다는 거래소 시스템 상의 문제점이었다고 볼 수 있습니다.
이더리움의 경우 비잔티움 하드포크 이전까지만 해도 트랜스퍼 함수의 조건을 만족하고 그것이 True 판정이 날 경우에 전송하는 시스템이었습니다. 하지만 비잔티움 하드포크 이후에는 TxReceipt라는 것이 추가되게 됩니다. 이것은 우리가 이더스캔에서 흔히 접하는 Pending, Success 등을 나타내는 것이 이것입니다. 일종의 트랜잭션 영수증이죠.
그런데 문제가 되는 것이 이 비잔티움 하드포크 이후 오픈한 암호화폐 거래소의 경우 토큰 전송시에 실제로 전송이 이루어지고 TxReceipt 상태만을 보고 그것이 Success라고 되어 있으면 유효한 전송이라고 생각하여 입금을 시켜주는 경우가 있었습니다.
하지만 트랜스퍼 함수의 조건을 만족시키지 못해 실제 전송이 일어나지 않더라도 트랜젝션의 처리는 성공한 것이므로 TxReceipt에는 Success라고 뜨게 됩니다.
그렇다면 실제로 무슨 일이 있었느냐고 하면, A모 토큰이 Bit-모 거래소에 상장된 후 한국인들이 신기한 것을 발견하게 됩니다. 우연히 자신이 가진 코인의 수량보다 더 많은 토큰을 전송했는데 그것이 거래소 잔고에 반영이 되더라는 것이죠.
앞서 말씀드렸지만 원래 자기가 가진 것보다 더 많은 코인을 전송하는 것은 트랜스퍼 함수의 조건을 만족시키지 못하므로 전송이 일어나지 않아야 합니다. 하지만 전송이 성공했든 실패했든 트렌젝션 자체는 처리가 된 것이니 TxReceipt 상으로는 트랜젝션 처리가 성공으로 뜨게 되겠죠.
한편 이 Bit-모 거래소에서 실수를 한 것이 버그를 이용하여 악의적인 유저들이 실제로 가진 것보다 더 많은 코인을 입금 요청했음에도 불구하고 트랜스퍼 함수를 검증하지 않고 TxReceipt만을 기준으로 트랜젝션의 성공과 실패를 판단함으로써 실제로 존재하지 않는 코인이 거래소 장부상에서 존재하는 것처럼 복사가 되는 결과를 가져오게 됩니다.
결국 A모 토큰은 Bit-모 거래소에서의 급격한 덤핑으로 인해 가격이 급락하게 되고 이것이 거래소 입금 시스템의 취약점 때문이라는 것이 밝혀지게 됩니다. 결국 시스템을 보완하고 해당 코인을 3억 개 시장가로 바이백하기로 하면서 마무리가 되었으며, 해당 부정거래자들은 국내 수사 결과 검거되어 구속된 것으로 알고 있습니다.
하지만 이것은 A모 토큰이나 이더리움 네트워크 자체의 문제는 아니기 때문에 현재까지 블록체인 상에서 암호화폐 복사 이슈가 발생하지는 않았다고 할 수 있습니다.
답변이 도움이 되길 바랍니다.