온체인 탈중앙화 거래소(DEX) 집계 플랫폼 스왑넷(SwapNet)이 주요 스마트 컨트랙트 해킹 공격을 받아 약 천육백팔십만 달러 상당의 암호화폐 자산을 탈취당했습니다.
이 사건은 탈중앙화금융(DeFi)에서 토큰 승인 및 제3자 라우팅 컨트랙트와 관련된 지속적인 보안 문제가 있음을 보여줍니다.
Sponsored온체인 DEX 통합기 스왑넷, $1680만 해킹 피해
펙쉴드(PeckShield)는 공격자가 0x팀이 만든 메타 DEX 집계 플랫폼 매차 메타(Matcha Meta)를 통해 접근 가능한 스왑넷 관련 활동을 타깃으로 했다고 보고했습니다.
베이스(Base) 네트워크에서 공격자는 약 천오십만 달러 상당의 USDC를 약 3,655 이더리움(ETH)으로 교환한 뒤, 자금을 이더리움 네트워크로 브릿지했습니다. 이는 추적 및 회수 작업을 복잡하게 만들기 위해 자주 사용되는 전략입니다.
매차 메타는 노출이 자체 인프라에서 발생한 것이 아니라고 설명했습니다. 보안 기능인 0x의 One-Time Approval 시스템을 비활성화한 이용자들이 피해를 입었습니다. 이 시스템은 지속적인 토큰 권한을 제한하기 위해 설계되었습니다.
이 옵션을 비활성화한 사용자는 스왑넷의 라우터 등 집계 컨트랙트에 직접 승인을 부여하였으며, 이 부분이 공격의 주요 경로가 되었습니다.
“One-Time Approval 기능을 끈 분들 중 매차 메타에서 스왑넷에 노출된 사례가 있다는 점을 인지하고 있습니다.” – 매차 메타 공식 입장
플랫폼은 스왑넷 팀과 협력 중임을 확인했습니다. 스왑넷 팀은 조사가 진행되는 동안 피해 컨트랙트를 임시로 비활성화했습니다.
Sponsored Sponsored매차 메타는 사용자들에 0x의 One-Time Approval 체계 밖의 개별 집계 플랫폼에 준 승인을 즉시 취소할 것을 권고했습니다.
특히 스왑넷의 라우터 컨트랙트(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)에 대한 승인 취소가 가장 시급하다고 강조했습니다. 승인 취소를 하지 않을 경우 공격이 막힌 이후에도 지갑이 위험에 노출된 상태가 지속될 수 있습니다.
디파이 보안, 편의성…스마트컨트랙트 해킹 증가
이번 사고는 디파이에서 편의성과 보안 사이의 오랜 트레이드오프를 보여줍니다. One-Time Approval 방식은 각 거래를 개별적으로 승인해야 하기에, 공격 노출면을 줄입니다. 이는 잦은 거래자에게 불편을 줄 수 있습니다.
Sponsored반면, 무제한 승인 방식은 스마트 컨트랙트가 사용자 자금에 지속적으로 접근할 수 있도록 하지만, 해당 컨트랙트가 해킹될 경우 매우 위험해집니다.
스왑넷은 아직 기술적인 사고 분석 결과를 제공하지 않았으며, 피해자 보상 여부도 밝히지 않았습니다. 이에 따라 책임 소재와 회복 절차에 대한 의문이 남아 있습니다.
즉각적인 명확한 설명 부족은 디파이 생태계 전반의 승인 방식 및 집계 플랫폼 통합 절차에 대한 조사가 더욱 강화될 것으로 전망됩니다.
이더리움 또 해킹…미검증 폐쇄계약 위험
해킹 사고는 암호화폐 시장에서 계속되는 스마트 컨트랙트 공격 및 보안 사고와 맞물려 발생했습니다.
Sponsored Sponsored같은 날, 보안감사자 파쇼브(Pashov)는 약 37 WBTC(삼백십만 달러 상당)를 노린 별도의 이더리움 메인넷 해킹을 보고했습니다.
이 사건은 41일 전에 배포된 비공개, 검증되지 않은 컨트랙트와 관련이 있었습니다. 해당 컨트랙트는 사람이 읽을 수 없는 바이트코드만 공개하여, 외부의 감시와 점검을 어렵게 했습니다.
이런 사례들은 디파이 공간이 해커에게 여전히 이점이 많은 환경임을 부각합니다. 주요 원인은 다음과 같습니다.
- 검증되지 않은 코드
- 지속적인 승인 권한
- 복잡한 라우팅 구조
수년간의 감사와 보안 기술 발전에도 불구하고, 디파이 업계는 구조적 취약점에 계속 시달리고 있습니다. 이에 따라 개발자와 사용자는 사용 편의성과 위험 관리의 균형을 스스로 맞춰야 하는 책임을 지고 있습니다.
