갈라게임즈 2300만달러 해킹 피해 발생 ··· ‘엉망’인 내부 통제

Hassan Shittu
| 2 min read
면책조항: 이 기사를 투자 조언으로 받아들여서는 안됩니다. 암호화폐는 변동성이 큰 투자상품이기 때문에 투자 전 자체적인 조사를 수행하시기 바랍니다.

유명한 블록체인 게임 플랫폼인 갈라 게임즈(Gala Games)는 심각한 보안 사고가 발상하여 2,300만 달러에 달하는 6억 개의GALA 토큰이 무단으로 판매되었다. CEO 에릭 샤이어마이어는 이 사건이 부적절한 내부 통제 때문이라고 설명했다.

이번 해킹 공격은 어제(21일) 새벽 4시 32분(한국시간)에 한 해커가 갈라 게임즈 관리자 주소에 접속하며 발생했다. 관리자 권한을 취득한 이 공격자는 약 2억 달러상당의 신규 GALA 토큰 50억 개를 발행했다. 그런 다음 그는 탈중앙화 거래소 유니스왑에서 새로 발행된 토큰 중 6억 개를 판매했다.

갈라 게임즈가 보안 문제에 직면한 것은 이번이 처음이 아니다. 2021년에도 유사 공격에 의해 1억3000만 달러의 손실을 봤다.

갈라 게임즈 해킹 원인 “엉망인 내부 통제”

블록체인 분석가 @devops199fan이 갑작스러운 대량 GALA 토큰 발행을 지목하며 이 사건은 알려지기 시작했다. 그가 대량 GALA 토큰 발행을 알리자마자 갈라 게임즈는 신속하게 대응하여 추가 피해를 완화했다.

이에 대응하여 갈라 게임즈는 해킹된 지갑을 동결하여 해커가 남은 토큰을 판매하지 못하도록 조치했다. 갈라 게임즈는 GALA 컨트랙트에 대한 침입 정황을 확인했고 해당 침입 경로를 제거했다고 공지하며 이해관계자들에게 GALA 이더리움 컨트랙트가 안전하다고 약속했다.

또한 샤이어마이어 CEO는 X를 통해 나머지 44억 개의 토큰을 소각하여 추가적인 피해를 막았다고 발표했다. 또한 FBI, 미국 법무부 및 국제 보안 당국들과 긴밀히 협력하여 이 사건을 조사하고 범죄자를 체포하기 위해 최선을 다하고 있다고 전했다.

샤이어마이어는 “6억 개의 갈라 토큰을 불법 판매되고 44억 개의 토큰이 소각되었다. 내부 통제가 엉망이었다. 이런 일이 발생하지 말았어야 했으며 다시는 이런 일이 발생하지 않도록 조치를 취하고 있다”고 말했다.

이번 해킹 사건의 여파로 GALA의 가격은 일일 고점 대비 20% 하락한 24시간 저점인 0.038달러로 급락했다. 그러나 코인게코에 따르면 이후 토큰 가격은 0.041달러로 일부 회복되었다.

이번 해킹 사건 외에도 배임·절도 혐의로 서로 소송을 제기한 샤이어마이어 CEO와 공동창업자 라이트 서스턴 사이에 진행 중인 갈라 게임즈 내부의 법적 다툼은 회사의 혼란을 가중시키고 있다.

그러나 갈라 게임즈는 사용자와 투자자들에게 향후 사고를 방지하기 위해 보다 강력한 내부 통제를 시행하고 있으며 위한 안전하고 강력한 블록체인 게이밍 플랫폼을 유지하기 위해 최선을 다하고 있다고 안심시켰다.

증가하는 암호화폐 해킹


지난 14일 대출 프로토콜인 소네 파이낸스(Sonne Finance)가 2000만 달러상당의 피해를 발생시킨 해킹 공격을 받아 WET·USDC를 비롯한 여러 암호화폐에 악영향을 미쳤다. 소네파이낸스는 옵티미즘 상의 모든 거래를 중단하고 싸이버스(Cybers)와 협력하여 조사에 착수했다. 자금을 회수하고 버그 바운티를 진행했음에도 불구하고 이미 도난당한 자산의 상당 부분이 다른 지갑으로 전송됐으며 이는 토네이도 캐시와 같은 개인정보 보호 프로토콜을 통해 자산을 세탁하려는 의도를 시사한다.

온체인 분석가 ZachXBT에 따르면 레인 암호화폐 거래소 또한 지난 4월 29일 약 1,410만 달러상당의 여러 암호화폐가 수상한 지갑으로 전송된 잠재적 해킹 공격을 경험했다. 레인의 비트코인·이더리움·솔라나·XRP 지갑에서 상당한 양의 코인이 유출되었다. 도난당한 자금은 빠르게 비트코인·이더리움으로 교환되어 특정 주소로 전송되었다. 현재 갈취된 이더리움을 보유하고 있는 지갑은 약 1,881 ETH(550만 달러상당)를 보유하고 있으며 갈취된 비트코인을 보유하고 있는 지갑는 약 137.9 BTC(860만 달러상당)를 보유하고 있다.

아캄 인텔리전스 데이터에 따르면 피해 자금은 레인 거래소와 직접적 관련은 없는 비트고(Bitgo) 멀티시그니처 지갑들에서 나왔다. 유니스왑에서 ETH 590개, 시바이누 200억개, 체인링크 12,500개, 테더 24만 달러상당, USDC 50만 달러상당이 ETH로 교환되었으며 바이낸스 핫월렛에서 추가적인 교환이 있었다.

디파이 대출 프로토콜인 파이크 파이낸스(Pike Finance)도 스마트 컨트랙트 취약점이 공격당해 160만 달러의 피해가 발생한 바 있다. 이더리움·아비트럼·옵티미즘 체인에서 3일에 걸쳐 피해 자금이 유출됐다.

함께 읽을 만한 기사