Sui 해킹 사건 개요
최근 Sui의 해킹 사건에 대한 많은 이들의 궁금증이 커지고 있습니다. Sui는 공식 발표를 통해 검증자 네트워크가 해커의 주소를 동결하고 1억 6천만 달러에 달하는 자금을 회수했다고 밝혔습니다. 그들이 어떻게 이 일을 해냈을까요? 탈중앙화는 정말 거짓인가요? 아래에서 기술적 관점에서 이 문제를 분석해보겠습니다.
자금 회수 메커니즘
공식 발표에 따르면 다수의 검증자들이 도난당한 자금의 주소를 식별하고, 해당 주소에서의 거래를 무시하고 있습니다.
1. 검증자 수준에서의 거래 필터링
– 검증자들이 집단적으로 특정 거래를 무시하고 있습니다:
– 검증자는 거래 풀(mempool) 단계에서 해커의 주소에 대한 거래를 직접적으로 무시합니다.
– 이러한 거래는 기술적으로 유효하더라도, 검증 요소에 의해 체인에 포함되지 않습니다.
– 해커의 자금은 사실상 ‘가택연금’ 상태에 있게 됩니다.
2. Move 객체 모델의 주요 메커니즘
– Move 언어의 객체 모델이 이 동결을 가능하게 합니다:
– 자산의 전송은 반드시 온체인에서 이루어져야 합니다. 해커가 Sui 주소에서 많은 자산을 통제하고 있어도, 이를 전송하기 위해선 거래가 생성되고 검증을 받아야 합니다.
– 검증자는 자산의 이동 여부를 결정할 수 있는 권한을 갖고 있으며, 만약 검증자가 자산의 패키징을 거부하면 그 자산은 절대 이동하지 못합니다.
– 그 결과 해커는 자산을 명목상으로 소유하고 있지만, 실제로는 이를 통제할 수 없습니다. 이는 마치 당신이 은행 카드를 가지고 있지만 모든 ATM이 당신에게 서비스를 거부하는 것과 같습니다.
– SUI 검증 노드(ATM)의 지속적인 감시와 개입으로 인해 해커의 주소에 있는 SUI 및 기타 토큰은 순환할 수 없습니다.
탈중앙화에 대한 의문과 경과
이 도난당한 자금은 마치 파괴되는 것과 같아, 사실상 디플레이션적인 역할을 할까요? 물론, 검증자들의 일시적인 협업 외에도 Sui는 시스템 수준에서 거부 목록 기능을 사전에 설정했을 가능성이 있습니다. 만약 그렇다면, 과정은 다음과 같습니다:
- 관련 기관(예: Sui 재단 또는 거버넌스)을 통해 해커의 주소를 시스템의 deny_list에 추가하고, 검증자들은 이러한 시스템 규칙에 따라 행동하게 되어 블랙리스트에 등록된 주소의 거래를 거부합니다.
일시적인 협조이든 시스템 규칙에 따른 실행이든, 대부분의 검증자들은 일관되게 행동해야 합니다. 그러나 Sui의 검증자 네트워크에 권력 집중 문제가 여전히 존재하며, 일부 노드가 전체 네트워크의 핵심 결정을 좌우할 수 있습니다. 이처럼 Sui의 검증자가 집중된 문제는 PoS 체인에서만 국한되지 않으며, Ethereum에서 BSC까지 많은 PoS 네트워크가 유사한 집중 리스크에 직면해 있습니다. 이번 사건을 통해 Sui의 문제가 더욱 두드려졌습니다.
더욱이 Sui 관계자들은 동결된 자금을 사용자에게 반환할 것이라고 주장했으나, 만약 검증자가 정말로 “거래 패키징을 거부했다면” 이 자금은 이론상 절대 이동되지 않아야 합니다. Sui는 자금을 어떻게 반환했을까요? 이는 Sui 체인의 탈중앙화 특성에 도전합니다!
탈중앙화의 현실
구체적인 세부 사항이 공개되기 전, 탈중앙화와 관련된 선택과 대가에 대해 논의할 필요가 있습니다. 비상 대응 개입으로 인해 탈중앙화의 일부를 희생하는 것이 반드시 나쁜 것인지, 해커의 공격이 발생했을 때 전체 체인이 아무 조치도 취하지 않는 것이 사용자의 바람인지에 대한 사실을 직시해야 합니다.
모든 사용자가 자신의 자산이 해커에게 넘어가는 것을 원하지 않지만, 문제는 동결 기준이 완전히 주관적이라는 것입니다. 무엇이 도난당한 자금인지, 누가 이를 정의하며, 그 경계는 어디에 있을까요? 지금 해커를 동결하고, 내일은 누구를 동결할 수 있을까요?
이러한 선례들이 설정된다면, 퍼블릭 체인의 핵심 반검열 가치가 무너지고 사용자 신뢰에 부정적인 영향을 미칠 것이 자명합니다. 탈중앙화는 단순히 흑백으로 나누어질 수 없는 문제입니다. Sui는 사용자 보호와 탈중앙화 사이에서 특정 균형을 선택한 것으로 보입니다. 핵심 문제는 투명한 거버넌스 메커니즘과 명확한 기준이 부족하다는 점입니다.
현재 많은 블록체인 프로젝트가 이러한 선택과 대가를 감당하고 있으며, 사용자에게는 진실을 알 권리가 있습니다. 또한, 완전히 탈중앙화되었다는 단순한 꼬리표에 의해 오해되어서는 안 됩니다.
