노르마 "ERC-20·RTK 토큰 스마트컨트랙트 취약점 발견"

노르마(대표 정현철)는 최근 중국 블록체인 보안 스타트업 '버그엑스(BUGX.IO)'와 공동 진행한 연구를 통해 암호화폐 거래가 정상 처리되지 않는 스마트컨트랙트의 취약점을 발견했다고 5일 밝혔다.

설명에 따르면 취약점은 이더리움 기반의 ERC-20 토큰과 지브롤터블록체인거래소(GBX)가 발행한 RTK 토큰에서 발견됐다. 버그는 암호화폐 거래시 이체한도가 정상적으로 줄어들지 않거나, 송금계좌 잔액이 극대화하거나, 암호화폐가 사라질 수 있는 문제를 야기했다.

노르마 측은 "과거 transferFrom 함수에서 발견된 불일치성 취약점이 balances 구문에도 발견돼, 내가 인출 권한을 부여한 제3자가 인출 전 내 계좌를 확인시 내 잔액이 무한대로 커질 수 있다"면서 "유사한 문제가 25개 스마트컨트랙트에서 발견됐고 대부분 거래 중이었다"고 지적했다.

또 "노르마와 버그엑스 보안팀은 GBX RKT 토큰에서 컨트랙트 내부 오버플로 취약점을 발견했는데, 이는 개발자 실수로 오버플로 확인구문을 주석 처리해 생긴 것"이라며 "공격자는 자신의 토큰 수량을 증가시킨 후 그와 연관된 사용자 토큰을 악의적으로 없앨 수 있다"고 지적했다.

스마트컨트랙트는 블록체인에 저장돼 있다가 특정 조건을 만족했을 때 자동으로 실행되는 프로그램이다. 비즈니스 프로세스를 자동화, 간소화할 수 있지만 사람이 작성한 다른 프로그램 코드와 마찬가지로 잠재적 취약점을 내포하고 있어, 이를 노린 해커의 표적이 될 수 있다고 노르마 측은 경고했다. 스마트컨트랙트 코드의 취약점으로 인해 암호화폐 탈취나 지갑 동결 문제가 발생할 수 있다는 지적이다.

스마트컨트랙트의 보안 문제는 암호화폐와 블록체인 영역에 산업계 관심이 고조되면서 한층 주목받기 시작했다. 올해 2월 미국 샌디에이고에서 진행된 'NDSS 심포지엄 2018' 보안학회에서 IBM리서치 소속 연구진이 스마트컨트랙트의 보안 문제를 경고하는 연구결과를 발표하기도 했다. 해당 연구는 초록에 "5억달러 이상 가치를 지닌 암호화폐를 포함하는 스마트컨트랙트의 94.6% 가량이 취약하다"고 언급하고 있다.

관련기사

노르마는 무선랜 및 사물인터넷(IoT) 보안 전문업체로 설립됐고 최근 암호화폐 보안 분야로 사업 영역을 넓혔다. 회사는 감사(audit)를 통해 스마트컨트랙트상 소스코드의 실수나 로직 오류로 발생하는 버그, 취약점을 확인할 수 있다고 주장하고 있다. 향후 기술, 노하우, DB를 활용해 암호화폐 거래소 보안솔루션을 출시할 계획이라고 예고했다. 버그엑스와의 공동연구는 이 보안 솔루션 연구개발 일환이란 설명이다.

노르마와 함께 스마트컨트랙트의 취약점 감사 연구를 진행한 버그엑스는 중국 블록체인 보안 스타트업으로 올해 1월 설립됐다. 노르마 측 설명에 따르면 버그엑스는 암호화폐거래소, 스마트컨트랙트, 전자지갑, 블록체인 백엔드 영역의 보안 솔루션을 제공한다.