트론(TRX, 시가총액 11위) DApp 트론뱅크(TronBank)와 트론와우(TronWoW)가 지난 11일 해킹 공격을 받았다. 공격은 새벽 2시와 새벽 4시 사이에 이루어졌으며, 해당 공격으로 각각 1.7억 BTT와 216만 TRX를 강탈당했다.
트론뱅크는 트론 관련 배당 DApp으로 BTT 투자 상품은 지난 10일 출시되었으며, 트론와우는 탈중앙화 게임플랫폼 DApp으로 총 10억 개를 발행한 이력이 있다.
트론뱅크와 트론와우에 가해진 공격은 ‘랜덤 수’ 관련 해킹 공격이다. 트론뱅크 해킹과 관련해 중국 블록체인 보안업체 ‘Beosin’은 “스마트 컨트랙트가 토큰의 유일한 식별 토큰 ID 인증을 엄격히 검증하지 않아, 가짜 토큰을 BTT 토큰으로 인식하면서 해킹 피해가 발생했다”며 “깃허브(Github)에 업로드된 프로젝트 코드 중 일부 스마트 컨트랙트에서 유사한 보안 문제가 발견됐다.”고 지적했다. 보안업체는 이 같은 보안 문제가 존재하는 주요인으로 “트론 토큰 사용 메커니즘에 대한 개발자 연구가 부족하기 때문”이라고 주장했다.
블록체인 보안 전문 업체 팩쉴드(PeckShield)에 따르면 “이번 해킹에 사용된 ‘랜덤 수’ 생성 결함이 기존 EOS DApp 해킹에 자주 나타난 바 있는 만큼 TRX DApp 생태계가 추가 피해에 유의해야 한다”고 당부했다.
한편, 트론 창시자 저스틴 선(Justin Sun)은 개인 SNS 개인 계정을 통해 “트론 DApp에서 발생한 스마트 컨트랙트 해킹 사례는 트론의 프로토콜의 보안과 무관하다”며 “트론 프토토콜과 온체인 자산은 안전한 상태”라고 말했다. 또한 그는 “향후 DApp의 보안성을 높이기 위해 보안업체, 파트너와 함께 개발자를 대상으로 스마트 컨트랙트 보안 교육을 진행할 예정”이라고 덧붙였다.
ⓒ 더노디스트, 무단 전재 및 재배포 금지
기사 제보 및 보도 자료 : press@kr.thenodist.com
