최근 이더리움 스마트컨트랙트를 이용한 해킹 사건으로 인해 트루빗(TRU) 프로토콜에서 약 1,457억 원 상당의 이더리움이 유출됐다. 해킹 소식이 전해지자 TRU 토큰은 하루 만에 99% 이상 가치가 감소하며 사실상 '휴지조각'으로 전락하게 되었다.

트루빗 팀은 해킹이 발생한 스마트컨트랙트 주소를 공개하고, 향후 대응을 위해 법 집행기관과 협력하고 있다고 밝혔다. 이 사건은 '악의적인 행위자'가 여러 명이 참가한 것으로 보이며, 공격자는 가격 계산의 오류를 이용해 대량의 토큰을 사실상 무료로 발행한 후 보유하고 있던 이더리움 준비금을 탈취한 것으로 분석되고 있다.

해킹의 원인은 트루빗의 'Truebit Protocol: Purchase' 스마트컨트랙트에서 발생한 가격 산정 로직 오류로, 'getPurchasePrice' 함수에 결함이 있어 특정 조건에서 토큰을 제로(0) 비용으로 발행할 수 있었다. 이를 활용한 공격자는 대량의 TRU 토큰을 무상으로 생산한 뒤 매도하여 약 8,535 ETH를 탈취했다. 당시 기준으로 약 2,660만 달러(약 388억 원)에 달하는 금액이다.

거래 추적 결과, 탈취된 자금은 '합산 주소'로 이전된 후 significant 금액이 익명 믹싱 서비스인 토네이도캐시(Tornado Cash)를 통해 세탁된 것으로 나타났다. 이는 우발적인 해킹이 아닌, 사전에 계획된 범죄임을 강하게 시사하고 있다.

해킹 소식이 전해지자 TRU 토큰의 가격은 급격히 하락했다. 분석업체 넨센(Nansen)은 TRU 가격이 약 0.16달러(약 233원)에서 0.0000000029달러(약 0.000004원) 까지 떨어졌다고 밝혔다. 이는 하루 만에 99% 이상의 하락폭을 보인 것이며, 시장 참가자들은 이를 통해 다른 스마트컨트랙트 기반의 프로젝트에도 '연쇄 실패' 가능성을 경고하는 예고편으로 해석하고 있다.

최근 암호화폐 해킹의 규모는 줄어드는 추세에 있지만, 프로토콜에 내재된 취약점은 여전히 위협 요소로 남아 있다. 보안업체 펙실드(PeckShield)의 보고서에 따르면, 12월 한 달 암호화폐 해킹 피해 규모는 약 7,600만 달러(약 1,107억 원)로, 이는 11월의 1억 9,420만 달러(약 2,834억 원)보다 60% 감소한 결과이다. 그러나 여전히 멀티시그 지갑의 프라이빗키 유출로 인한 사건이나 '주소 중독(Address poisoning)' 수법을 통한 해킹이 발생해 피해를 입힌 사례도 보고되고 있다.

트루빗 측은 해킹 발생 원인, 사용자 자산의 안전성, 복구 방안 등에 관해 구체적인 정보를 제공하지 않고 있다. 전문가들은 이러한 상황에서 신속한 기술 분석과 커뮤니티 신뢰 회복이 가장 중요한 과제가 될 것이라고 지적하고 있다.

결론적으로, 이번 TRU 사건은 단 한 줄의 코드 오류가 얼마나 큰 손실을 초래할 수 있는지를 다시 한 번 일깨워 주는 사례이다. 스마트컨트랙트의 보안성과 토크노믹스 설계에 대한 정확한 이해 없이는 암호화폐 시장에서의 성공이 어려운 시대가 되었다.