0x6487B5006904f3Db3C4a3654409AE92b87eD442f

현재 아이오텍스(IOTX)는 상장 폐지와 잔류를 놓고 업비트와 빗썸, 코인원 등 국내 거래소 업계 3곳에서 재심사가 진행 중이다. 국내는 투자 유의 종목 지정과 2주일의 심사기간이 주어지는 것에 비해 국외 거래소는 입출금 차단과 동결 혹은 평소와 다름없이 '주의'하라는 설명 외에는 평소와 같다.

하지만 아이오텍스의 보안 사고는 과거 엑시인피니티의 로닌 브릿지의 사례와 비슷하다. 프로젝트 본체가 아닌 다른 곳으로 이동할 수 있는 브릿지의 보안 취약점을 노렸고, 시스템의 문제가 아닌 사람의 실수라는 점이 비슷한 사례로 꼽힌다.

특히 X(옛 트위터)에서 최초로 아이오텍스의 보안 사고를 공개한 보안업체 펙실드(PeckShieldAlert)는 앞서 엑시인피니티의 로닌 브릿지 사고도 이번 사례처럼 공개했다는 점이 눈길을 끈다.

국내 거래소 3곳은 아이오텍스 투자 유의 종목 지정을 위해 코인디스플레이허브의 기사를 인용했다. 이후 아이오텍스는 X를 통해 'ioTube Bridge Incident'로 최초 사항과 현재 진행 중인 사항을 공유했다. 관점에 따라 재단 측은 최초 사고 발생 시점과 피해 규모, 대책 등을 공개한 덕분에 '사고는 발생했지만, 현재 수습 중이며 보상책도 마련할 것'이라는 지극히 이상적인 계획을 제시했다.

이는 항상 국내외 프로젝트 팀이 비슷한 사고가 발생할 때마다 일반적으로 재단이 대처하는 방식이다. 그래서 '소 잃고 외양간 고치기'라는 항상 뒤늦게 대처하는 비아냥과 일각에서는 먹튀 프로젝트보다는 깔끔하다는 자조 섞인 의견도 나온다.

하지만 투자자의 시선은 다르다. 아이오텍스는 2018년에 탄생해 8년 차 프로젝트다. 8년에 걸쳐 성격이 비슷한 프로젝트의 보안사고 사례와 이번 사고는 시스템의 문제가 아니라 ioTube Bridge 이슈라고 단정, 재단 측이 책임을 회피하는 듯한 인상이 강하다.

즉 브릿지에서 발생한 이벤트로 한정해 아이오텍스는 문제가 없다는 전략으로 읽힌다.

이번 기사의 제목처럼 해당 주소는 이더스캔에서 해커 지갑으로 추정될 뿐 이더리움에서 토르체인, 다시 비트코인까지 흘러 들어간 경로만 최초 사고 브리핑에 언급된 게 전부다. 모든 블록체인은 스캐너와 스코프로 흔적이 남지만, 정작 아이오텍스는 자신들이 공개한 자료 외에는 토르체인의 트랜잭션 해시(TxID)와 최종 4개의 비트코인 주소는 공개하지 않았다.

또한 최초로 공개한 내용은 이더리움 피해 규모는 1차 1,464개에서 3차 1,572개로 수량이 늘었다. 아이오텍스 재단에 따르면 ioTube Bridge에서 가져간 유에스디코인(USDC), 테더(USDT), 랩드 비트코인(WBTC), 이더리움 등의 준비금 자산은 이더리움 2,183개로 변환됐다. 

이 중에서 1,572개가 토르체인에서 비트코인 66.78개로 바꿨지만, 해당 지갑은 동결됐다는 게 재단 측의 주장이다. 디센트럴을 표방하는 블록체인 프로젝트가 항상 사고가 발생할 때마다 꼬리 자르기와 면피성 재발 방지 대책은 반복된다.

모든 것은 기록되고 추적할 수 있다고 설명하지만, 정작 투자자는 알 필요가 없다는 이유로 상세한 지갑 주소는 숨기는 게 모순이다. 매번 비슷한 사고는 반복되지만, 덩달아 사과문도 비슷한 내용으로 반복되는 상황에서 제대로 된 프로젝트 팀의 철통 보안은 아직도 먼 이야기다.