5.23억 XEM을 유출시킨 일본 기업 거래소의 동전 점검이 28일 오전 00시 26분 보유자 26만명에 대해서 전액 보상한다고 발표했다. 보상은 JPY로 이루어질 전망으로 유출 당시부터 발표 때까지 VWAP가격 88.549엔으로 상당하는 463억엔을 자기 자본으로 모두 조달한다.
27일 기자 회견에서 동전 점검은 가상 화폐 NEM의 관리를 물리적으로 비밀 키나 서명 기능을 온라인 환경에서 떼어 낸 콜드 지갑이 아니라 그 전액을 온라인에 접속되는 핫 지갑에서 실시하고 있었다고 했다. 또, 송금시에 복수의 서명이 필요한 멀티 휘장도 강구하지 않았다.
콜드 지갑은 인터넷을 통한 공격에 효과적인 멀티 휘장은 물리적·전자적인 범행에 대해서는 단일의 비밀키만 도미출센으로도 서명이 완료되지 않아 특히 내부 범행과 소셜 엔지니어링, 습격 등에 효과적이다. 무엇보다, 2016년 여름에 일어난 Bitfinex사건처럼 멀티 휘장 등의 대책을 마련하고 있어도 적절한 운용이 이루어지지 않으면 보안 측면의 효과를 얻을 수 없다는 현실도 있다.
이미 유출된 5.23억 XEM이 돌아오기는 가능성은 제로에 가까울 것이다. 검증된 키 생성기를 이용하면 특정 비밀 열쇠를 발견할 가능성은 확률론으로 없는 거나 같다. 게다가 되감거나 특정 주소를 동결하고 신규로 부여하고 버리는 가상 화폐는 블록 체인의 유일하다고 할 수 있는 이점이다, 중앙 집권 주의에 기인한 불변성을 버려서 있다는 것과 다름없다. 그런 의미에서 NEM재단"하드 포크를 하지 않는다"로 삼는 결단은 결코 무자비한 대응이 아님을 주지하고 싶다. 블록 체인부터 불변성이 떨어지면 그것은 단순한 중앙 관리형 서비스와 다르지 않다. 또, 실권을 가진 조직을 공개적으로 두는 가상 화폐 프로젝트 자체, ICO을 제외하면 드물다.
편리성의 높이와 보안의 높이는 트레이드 오프 관계에 있다. 사업자로서는 어떻게 균형을 취할지는 각사의 판단으로 업계 내의 베스트 프랙티스가 없는 실정이다. 이번 성명에서는 유출 원인 등에 대해서는 언급하지 않고 또 다른 가상 화폐 등에의 영향에 대해서도 천명된 것은 아니다. 일부의 주소를 확인하는 한 이미 안전한 지갑에 대피시킨 흔적도 있고 안전에 만전을 기하기 때문에 모든 비밀키를 쇄신하고 문제 없다고 진단 했다고 본다. 동사는 현재도 원인 규명, 보안 내성 강화를 포함하고 서비스 재개에 주력하고 있다. 왜 NEM이 위협 받고 어떻게 유출했는지.속보를 기다리고 있다.
