[한스경제=허지은 기자] 이더리움(ETH)이 17일로 예정된 콘스탄티노플 하드포크를 무기한 연기한다고 밝혔다. 해킹에 이용될 수 있는 보안상 ‘치명적 결함’이 발견되면서 콘스탄티노플 하드포크 업데이트를 연기한 것. 이더리움 측은 18일 긴급회의를 통해 향후 하드포크 일정 등을 결정할 예정이다.

16일(현지시간) 블록체인 전문보안업체 체인시큐리티에 따르면 콘스탄티노플에서 보안상의 잠재적 결함이 발견됐다. 해당 결함은 이더리움 블록체인을 보다 향상시키는 개선안(EIP) 중 1283번 개선안이 활성화될 경우 생기는 ‘재진입 공격(Reentrancy Attack)’에 노출돼 이더리움이 해커에 의해 편취될 수 있다는 내용을 담고 있다.

이더리움 하드포크는 새해 가상화폐 시장에서 가장 주목받은 이벤트 중 하나였다. 지난해 가상화폐 시장 하락의 기폭제가 된 ‘비트코인캐시 하드포크’와는 달리 시장 충격 없이 ‘소프트랜딩’이 가능할거란 기대감이 커졌기 때문이다. 시가총액 2위에서 3위로 내려앉은 이더리움이 하드포크를 통해 개선될 가능성에 국내외 가상화폐 거래소에서 이더리움 가격이 상승하기도 했다.

◆ 이더리움 콘스탄티노플 하드포크…’쪼개지기’ 아닌 ‘업그레이드’

이더리움 콘스탄티노플 하드포크는 엄밀히 말하면 하드포크라기보단 업그레이드에 가깝다. 통상 2개의 블록체인으로 갈라지는 하드포크와는 달리 이더리움 콘스탄티노플은 기존 이더리움 블록체인을 개선하는 내용을 담고 있기 때문이다. 이번 하드포크가 진행되더라도 이더리움이 2개의 토큰으로 분리되지는 않을 전망이다.

이더리움 콘스탄티노플은 기존 이더리움 블록체인의 속도를 빠르게 하거나 가스 사용을 절감하는 등의 방향으로 업그레이드될 전망이다. 이 과정에서 제시된 개선점은 각각의 이더리움 개선안(EIP)으로 정리되고, 커뮤니티 다수의 동의를 바탕으로 해당 개선안이 승인되면 다음 업그레이드에 반영되는 식이다. 이번에 보안상 취약점이 발견된 EIP 1283 역시 이 같은 방식으로 제안된 개선안이다.

EIP 1283은 이더리움 블록체인 내에서 스마트 컨트랙트 체결 시 발생하는 수수료인 가스(Gas)를 절감하는 개선안이다. 그러나 이번 취약점이 발견되면서 콘스탄티노플 하드포크 일정은 잠정 연기됐다.

◆ 콘스탄티노플 결함, ‘무한 편취’ 가능케 하는 ‘재진입 공격’

이번에 문제가 된 취약점은 ‘재진입 공격’을 가능하게 해서 논란이 됐다. 재진입 공격이란 스마트 컨트랙트에 다시 진입만 할 수 있다면 투자금 반환 요청을 한 후 자신의 잔고로 투자금이 반환되기 전에 다시 반환 요청을 할 수 있다. 이런 식으로 공격자는 사용자의 가상화폐를 무한히 출금할 수 있다.

체인시큐리티는 “공격자와 사용자는 공동으로 투자금을 수령하고, 분할 방법을 결정하고, 지불금을 받을 수 있다”며 “콘스탄티노플 하드포크가 진행됐다면 공격자는 EIP 1283 코드에 있는 허점을 이용해 사용자의 자금을 훔칠 수 있었을 것”이라고 분석했다.

한편 이번 결함이 발견됨에 따라 고이더리움(Geth), 패리티(Parity) 등 이더리움 클라이언트는 콘스탄티노플 업데이트 직전 발생한 결함에 대응해 긴급 조치를 시행했다. 고이더리움은 업그레이드를 강제로 늦추는 비상용 핫픽스 버전을 내놨고, 패리티 역시 기존 클라이언트를 업그레이드하거나 다운그레이드할 수 있는 버전을 내놨다.

향후 이더리움 하드포크 일정은 18일 긴급 개발자 회의에서 결정될 예정이다. 비탈릭 부테린 이더리움 창시자와 허드슨 제임스, 닉 존슨 등 이더리움 개발자들은 다음 회의에서 EIP 1283을 개선하고 버그 재발 방지를 위한 논의를 이어갈 전망이다.

허지은 기자 hur@sporbiz.co.kr