원본 출처: DeepSafe Research
2025년 4월 23일, Brain이라는 네티즌이 친구를 통해 트위터에서 도움을 요청하며, 비트코인 레이어2 체인에서 아르비트라지 작업을 진행하던 중 베드록 임원들이 10만 달러가 넘는 unibtc 자산을 묶어두어 인출할 수 없었다고 말했습니다.
W측의 공개에 따르면, 그는 4월 17일 베드록이 특정 비트코인 L2 체인에서 발행한 unibtc의 가격이 비정상적이며 BTC와 분리되어 있음을 발견했습니다. W는 이러한 분리 현상이 일시적이며 곧 앵커로 돌아올 것이라고 믿었고, 여기에 좋은 차익거래 기회가 있다고 생각했기 때문에 BTC의 일부를 비트코인 L2로 옮겨서 unibtc로 교환한 후 앵커로 돌아온 후에 매도했습니다.
분리 후 24시간 만에 unibtc는 원래 위치로 돌아왔습니다. 그러나 W가 자신의 unibtc를 판매하려고 했을 때, Bedrock 임원들이 체인의 unibtc-BTC 유동성 풀을 제거했고, 이 토큰이 체인에서 unibtc의 유일한 2차 시장 출구 채널이라는 사실을 알게 되었습니다. W는 자신이 소유하고 있는 유니비티씨를 팔 수 없었기 때문에 유니비티씨를 다른 체인으로 옮기려고 했습니다.
그는 unibtc를 지원하는 체인에서 유일한 크로스체인 브리지(Free라는 이름)를 찾았을 때 "이 거래에는 프로젝트 당사자의 서명 승인이 필요합니다."라는 메시지를 받았습니다. W는 Free Cross-Chain Bridge 고객 서비스를 찾았는데, 그들은 "Unibtc 크로스 체인의 다중 서명 키는 Bedrock에서 호스팅됩니다. 사용자는 Bedrock의 허가 없이 Unibtc를 다른 체인으로 전송할 수 없습니다."라고 설명했습니다.
W는 이 문제에 대해 물어보기 위해 Bedrock 직원을 찾을 수밖에 없었습니다. 직원의 첫 답변은 다음과 같았습니다. "원금을 인출하는 것은 허용해 드릴 수 있지만, 차익거래로 발생한 수익을 인출할 수 있는지 여부는 아직 검토 중입니다."
이 시점에서 W는 이 체인에서 unibtc의 출구 경로가 완전히 차단되었고, 그의 손에 있는 약 200,000 U 상당의 unibtc가 "일시적으로 동결"되었다는 것을 깨달았습니다. 이 체인에서 판매할 방법이 없었고, 다른 체인으로 전송할 수도 없었습니다. 당시 그는 매우 무력감을 느꼈고 그저 원금을 순조롭게 인출하고 싶었을 뿐입니다.
그러나 BedRock 직원들의 태도는 모호했습니다. W가 원금을 인출할 수 있는 시점을 명확히 밝히지 않았고, 서면 약속도 제공하지 않았으며, "위험 검토"와 "기술 조사"와 같은 이유를 들어 절차를 지연시켰습니다.
BedRock은 지연 후, unibtc의 분리가 LayerBank 플랫폼의 누군가가 unibtc 자산을 대량으로 빌려 시장에 매도한 데에서 비롯되었다고 주장했고, BedRock 측은 W가 "LayerBank에 책임을 물어야 한다"고 제안했습니다. W가 LayerBank에 연락한 후 오랫동안 답변을 받지 못했습니다.
절박한 상황에 처한 W는 트위터에서 친구에게 도움을 요청했습니다. 2주가 넘는 협상 끝에 그는 마침내 LayerBank와 BedRock 임원진으로부터 긍정적인 답변을 받았고 자산을 성공적으로 회수했습니다.
W의 경험은 고립된 사례가 아니다. 관련된 다른 당사자들의 피드백에 따르면, BedRock 역시 작년에 비슷한 수단을 사용하여 사용자의 UNIBTC 종료 경로를 차단했고, 이로 인해 이러한 UNIBTC가 "실질적으로 동결"되었습니다. 물론, 이 글은 위에서 언급한 사건의 원인에 대해 추측하려는 것이 아니며, 단지 기술적인 관점에서 이와 유사한 중앙집중적인 악의적 행위를 피하고 제거하는 방법을 설명하고자 합니다.
먼저, 위의 사건들을 살펴보면, Unibtc의 발행인이자 2차 시장 유동성 풀의 최초 LP인 BedRock이 자연스럽게 Unibtc의 2차 시장에서 철수할 권한을 가지고 있음을 알 수 있습니다. 그 권한을 제한하려면 기술적인 수단보다는 거버넌스를 통해 제한해야 합니다.
그러나 위에서 언급한 사용자 요청을 거부한 Free Cross-Chain Bridge와 BedRock의 공모는 unibtc가 "발행 - 단일 체인 순환 - 다중 체인 순환"을 연결하는 데 있어 명백한 기술적 결함이 있음을 드러냈습니다. BedRock의 파트너인 Free Cross-Chain Bridge는 명백히 고도로 중앙화되어 있습니다.
진정으로 신뢰할 수 없는 다리라면 다리 운영자가 이용자의 출구를 막을 수 없도록 해야 합니다. 그러나 unibtc 동결 사례에서 BedRock과 Free 크로스체인 브릿지는 모두 강력한 중앙 집중식 권한을 가지고 있으며 검열에 저항하는 출구 채널을 제공하지 않습니다.
물론 Unibtc와 비슷한 사례는 드물지 않습니다. 대형 거래소에서는 사용자의 이탈 경로를 차단하는 일이 흔합니다. 크로스체인 브리지나 다른 유형의 프로젝트 당사자의 경우에도 중앙 집중화된 권한을 사용하는 경우가 많습니다. 2022년 6월, Harmony Horizon Bridge는 해커 공격으로 인해 57개 자산의 인출을 중단했습니다. 이러한 조치에는 "합법적인 이유"가 있었지만, 여전히 일부 사람들에게는 두려움을 안겨주었습니다.
2021년 StableMagnet 사건에서 프로젝트 당사자는 사전에 확보된 프로그램 허점을 악용하여 2,400만 달러를 횡령했습니다. 결국 홍콩과 영국에서 경찰이 대거 파견되었고, 지역 사회의 도움으로 도난당한 돈의 91%가 회수되었습니다. 이러한 사례는 자산 보관 플랫폼이 신뢰할 수 없는 서비스를 제공하지 못하면 필연적으로 재앙적인 결과를 초래한다는 것을 충분히 보여줍니다.
하지만 Trustless는 쉽게 이용할 수 없습니다. 결제 채널과 DLC부터 BitVM과 ZK Rollup까지 사람들은 다양한 구현 방법을 시도했습니다. 이러한 방식은 사용자의 자율성을 상당 부분 보장하고 안정적인 자산 인출 출구를 제공하지만, 여전히 피할 수 없는 단점이 있습니다.
예를 들어, 결제 채널은 당사자들이 상대방의 잠재적인 악의적 행동을 모니터링하도록 요구하고, DLC는 오라클에 의존해야 합니다. BitVM은 사용 비용이 많이 들고, 실제로는 다른 신뢰 가정이 있습니다. ZK 롤업의 탈출구는 긴 윈도우 기간이 지난 후에만 작동할 수 있으며, 롤업을 먼저 꺼야 하며, 이에 드는 비용은 엄청납니다.
현재 주요 기술 솔루션의 구현 상황을 볼 때, 완벽한 자산 보관 및 매각 솔루션은 없으며, 시장에는 여전히 혁신이 필요합니다. 다음에서 DeepSafe Research는 DeepSafe가 공식적으로 출시한 자산 보관 솔루션을 예로 들어 TEE, ZK, MPC를 결합한 신뢰할 수 없는 메시지 검증 솔루션을 모든 사람에게 설명하겠습니다. 이 솔루션은 비용, 보안, 사용자 경험과 같은 서로 호환되지 않는 지표 간의 균형을 맞추고 거래 플랫폼, 크로스체인 브리지 또는 모든 자산 보관 시나리오에 대한 안정적인 기반 서비스를 제공할 수 있습니다.
CRVA: 암호화 난수 검증 네트워크
현재 시중에서 가장 널리 사용되는 자산 관리 솔루션은 대부분 다중 서명 또는 MPC/TSS 방식을 사용하여 자산 이전 요청이 유효한지 여부를 판별합니다. 이 솔루션의 장점은 구현이 간단하고, 비용이 저렴하며, 메시지 검증이 빠르다는 것입니다. 단점은 자명합니다. 보안이 충분하지 않고 중앙 집중화되는 경향이 있습니다. 2023년 멀티체인 사례에서는 MPC 계산에 참여하는 21개 노드가 모두 한 사람에 의해 통제되었는데, 이는 전형적인 시빌 공격이었습니다. 이는 표면상의 수십 개의 노드만으로는 높은 수준의 분산화 보호를 제공할 수 없다는 것을 증명하기에 충분합니다.
기존 MPC/TSS 자산 관리 솔루션의 단점을 해결하기 위해 DeepSafe의 CRVA 솔루션은 많은 개선을 이루었습니다. 첫째, CRVA 네트워크 노드는 자산 담보의 접근 형태를 채택합니다. 메인 네트워크는 노드가 약 500개에 도달하면 공식적으로 출시될 예정입니다. 추정에 따르면, 이들 노드가 담보로 제공한 자산은 장기간 수천만 달러 이상으로 유지될 것으로 보인다.
둘째, MPC/TSS 계산의 효율성을 높이기 위해 CRVA는 추첨 알고리즘을 통해 노드를 무작위로 선택합니다. 예를 들어, 30분마다 10개의 노드가 선택됩니다. 이들은 사용자 요청이 승인되어야 하는지 여부를 검증하는 검증자 역할을 하며, 이후 릴리스를 위한 해당 임계값 서명을 생성합니다. 내부 공모나 외부 해커 공격을 방지하기 위해 CRVA의 복권 알고리즘은 오리지널 링 VRF를 사용하고 ZK와 결합하여 당첨자의 신원을 숨기므로 외부에서 당첨자를 직접 관찰하는 것이 불가능합니다.
물론, 혼자서 이것을 하는 것만으로는 충분하지 않습니다. 외부에서는 누가 선택되었는지 모르지만, 추첨된 사람은 그때서야 알게 되므로 여전히 공모의 여지가 있습니다. 공모를 더욱 방지하기 위해 모든 CRVA 노드는 TEE 하드웨어 환경에서 핵심 코드를 실행해야 합니다. 이는 블랙박스에서 핵심 작업을 수행하는 것과 같습니다. 이런 식으로 TEE 신뢰할 수 있는 하드웨어를 해독하지 않는 한 누구도 자신이 선택되었는지 알 수 없습니다. 물론, 현재의 기술 여건으로는 이를 실현하기가 매우 어렵습니다.
위의 내용은 DeepSafe의 CRVA 솔루션의 기본 아이디어입니다. 실제 워크플로에서는 CRVA 네트워크의 노드 간에 대량의 브로드캐스트 통신과 정보 교환이 필요합니다. 구체적인 과정은 다음과 같습니다.
1. CRVA 네트워크에 진입하기 전에 모든 노드는 먼저 체인에 자산을 담보로 제공하고 등록 정보로 공개 키를 남겨야 합니다. 이 공개 키는 "영구 공개 키"라고도 합니다.
2. CRVA 네트워크는 매시간 여러 개의 노드를 무작위로 선택합니다. 하지만 그 전에 모든 후보자는 로컬에서 일회용 "임시 공개 키"를 생성하고, "임시 공개 키"가 체인에 기록된 "영구 공개 키"와 연관되어 있음을 증명하는 ZKP를 생성해야 합니다. 다시 말해, 모든 사람은 ZK를 사용하여 자신이 후보자 목록에 존재한다는 것을 증명해야 하지만, 자신이 어느 후보자인지는 밝히지 않아야 합니다.
3. '임시 공개키'의 목적은 개인정보 보호입니다. "영구 공개 키" 집합에서 직접 추첨을 실시하면 결과가 발표될 때 누가 당선되었는지 모든 사람이 직접 알 수 있습니다. 모든 사람이 일회성 "임시 공개 키"만 공개하고 "임시 공개 키" 집합에서 몇몇 사람을 선택하면 기껏해야 자신이 복권에 당첨되었다는 사실만 알 수 있을 뿐, 복권에 당첨된 다른 임시 공개 키가 누구의 것인지는 알 수 없습니다.
4. 신원 유출을 더욱 방지하기 위해 CRVA는 사용자의 "임시 공개 키"가 무엇인지조차 알 수 없도록 할 계획입니다. 임시 공개 키의 생성 과정은 노드의 TEE 환경에서 완료됩니다. TEE를 운영하는 당신은 내부에서 무슨 일이 일어나는지 볼 수 없습니다.
5. 그런 다음 임시 공개 키를 TEE의 "가린 코드"로 암호화하여 외부로 보냅니다. 오직 특정 Relayer 노드만이 이를 복구할 수 있습니다. 물론, 복구 과정은 Relayer 노드의 TEE 환경에서도 완료되며, Relayer는 이러한 임시 공개 키가 어떤 후보에 해당하는지 알 수 없습니다.
6. 릴레이어는 모든 "임시 공개 키"를 복원한 후, 이를 모아 체인의 VRF 기능에 제출합니다. 이를 통해 우승자가 선정됩니다. 이들은 사용자 프런트엔드에서 보낸 거래 요청을 검증한 후, 검증 결과에 따라 임계값 서명을 생성하고, 마지막으로 이를 체인에 제출합니다. (여기의 릴레이어는 숨겨져 있으며 정기적으로 선택됩니다)
각 노드가 선택되었는지 알지 못하는데, 어떻게 작업을 수행할 수 있느냐고 묻는 사람도 있을 것입니다. 사실, 앞서 언급했듯이 모든 사람은 로컬 TEE 환경에서 "임시 공개 키"를 생성합니다. 복권 결과가 나온 후, 우리가 직접 명단을 방송하겠습니다. 모든 사람은 TEE에 목록을 전달하고 자신이 선택되었는지 확인하기만 하면 됩니다.
DeepSafe 솔루션의 핵심은 거의 모든 중요한 활동이 TEE 하드웨어 내에서 수행되며, 무슨 일이 일어나고 있는지 TEE 외부에서는 볼 수 없다는 것입니다. 각 노드는 선정된 검증자가 누구인지 모르기 때문에 공모가 방지되고 외부 공격 비용이 크게 증가합니다. DeepSafe를 기반으로 CRVA 위원회를 공격하려면 이론적으로 CRVA 네트워크 전체를 공격해야 합니다. 또한 각 노드는 TEE로 보호되므로 공격이 훨씬 어려워집니다.
CRVA의 자산 자체 보관 솔루션과 결합
위에서 우리는 CRVA의 일반 원칙을 소개했고 CRVA가 어떻게 분산화와 신뢰성을 달성하는지 설명했습니다. 아래에서는 HelloBTU라는 비트코인 알고리즘 스테이블코인을 예로 들어 CRVA가 자산 보관 솔루션에 어떻게 적용되는지 자세히 설명하겠습니다.
우리 모두 알다시피, 비트코인 체인에는 튜링 완전 환경이 없으므로 Defi와 같은 복잡한 스마트 계약 로직을 직접 구현하는 것이 불가능합니다. 따라서 주류인 BTCFi는 비트코인을 다른 체인에 연결한 다음 스마트 계약과 상호 작용하는 것입니다. HelloBTU의 스마트 계약 부분은 Ethereum에 배포됩니다. 사용자는 HelloBTU가 지정한 지불 주소에 BTC를 입금할 수 있으며, 이후 HelloBTU의 공식 브리지가 BTC를 이더리움 체인으로 전송한 후 HelloBTU의 안정적인 스마트 계약과 상호 작용합니다.
사용자가 HelloBTU 플랫폼에 10 BTC를 투자하고 싶어한다고 가정해 보겠습니다. 구체적인 작업은 먼저 10 BTC를 비트코인 체인의 Taproot 주소로 전송하는 것입니다. 해당 잠금 해제에는 2/2 다중 서명이 필요한데, 그 중 하나는 사용자가 생성하고 다른 하나는 CRVA가 생성합니다.
여기에는 여러 가지 상황이 관련되어 있습니다.
위의 Taproot 주소로 10 BTC가 전송된 후 사용자가 이 10 BTC를 사용하여 스테이블코인을 발행하고 이제 BTC를 적극적으로 상환하려고 한다고 가정해 보겠습니다. 이 시점에서 사용자와 CRVA는 각각 서명을 생성하여 10 BTC의 잠금을 해제하고 이를 사용자의 주소로 다시 전송합니다. CRVA가 장시간 사용자와 협조하지 않을 경우, 잠금 시간 기간이 만료된 후 사용자는 일방적으로 10 BTC를 회수할 수 있습니다. 이 기능을 "사용자가 시작하는 교환"이라고 합니다.
또 다른 상황은 사용자가 담보로 사용한 BTC가 청산되었고, 이제 사용자는 CRVA와 협력하여 이 BTC를 이체하고 통제를 위해 CRVA 일방적 채널로 넘겨야 하는 것입니다. 하지만 사용자가 협조를 거부할 경우 해당 BTC는 일시적으로 동결되고 아무도 이를 가져갈 수 없습니다. 시간 잠금 기간이 끝나면 이 자금은 CRVA가 관리하는 Taproot 주소로 CRVA를 통해 이체될 수 있습니다(CRVA 단방향 채널).
여기에는 세부 사항이 있는데, BTC가 CRVA 일방 채널에 진입하는 데 걸리는 시간 잠금은 비교적 짧은 반면, 사용자 지원 환매에 대한 시간 잠금은 더 깁니다. 즉, CRVA와 사용자가 서로 협력하지 못하면 이러한 BTC는 결국 CRVA 일방통행 채널로 먼저 진입하게 됩니다. 이런 방식으로 사용자의 지불 불이행 및 악행을 저지르는 행위를 효과적으로 제한할 수 있습니다.
CRVA의 악의적 행동에 대해 말하자면, CRVA는 자동으로 운영되는 노드 네트워크 시스템이기 때문에 초기 시작 시 코드에 악의적 논리가 포함되지 않는 한 CRVA는 사용자와의 협력을 적극적으로 거부하지 않으므로 기본적으로 무시할 수 있습니다.
정전이나 홍수 등 불가항력으로 인해 CRVA 노드가 대량으로 중단되더라도 사용자는 위 솔루션에 언급된 프로세스에 따라 자산을 안전하게 인출할 수 있습니다. 여기서 신뢰 가정은 CRVA가 충분히 분산되어 있고 적극적으로 악행을 저지르지 않을 것이라는 신뢰입니다(이유는 위에서 자세히 설명했습니다).
BTC가 CRVA 일방통행 채널로 전송되는 경우, 해당 체인 상의 안정적인 포지션이 청산되었으며, BTC의 실제 소유권은 청산인에게 귀속된다는 것을 의미하는 경우가 많습니다. 청산인은 인출 요청을 제출할 수 있으며, CRVA에서 이를 검토합니다. 승인되면 CRVA는 서명을 생성하고 해당 금액의 BTC를 청산인에게 이체합니다.
이때 CRVA가 장시간 응답하지 않을 경우, 시간 잠금이 만료된 후 해당 BTC는 DAO가 제어하는 주소로 전송됩니다. 이 작업은 다중 서명에 의해 시작되며, 이후의 처리 과정은 DAO 거버넌스에 의해 결정됩니다. 이 DAO는 잘 알려진 프로젝트 당사자, 보안 회사, 투자 기관 등으로 구성되어 있으며, 단일 개체의 사악한 행위를 억제하는 목적으로 설립되었습니다.
요약하자면, 우리는 DeepSafe의 비트코인 자산에 대한 자체 보관 솔루션을 대략적으로 설명했습니다. ERC-20 자산의 경우에도 원칙은 비슷하므로 여기서는 자세히 설명하지 않겠습니다. 위에서 언급한 유니비티씨 동결 사례와 관련하여, 유니비티씨 크로스체인 브릿지가 CRVA의 자체보관 솔루션을 도입하게 되면 자산 발행자가 전반적인 상황을 단독으로 통제하기 어려워질 것입니다.
