핵심 요약
온체인 보안 업체 팩실드(PeckShield)에 따르면, Alchemix 프로토콜 사용자가 이전에 승인된 악성 컨트랙트를 이용한 공격으로 인해 약 100만 달러 상당의 수익 창출형 토큰을 잃었습니다. 이 사건을 처음 인지한 팩실드에 따르면, 이번 공격은 사용자의 yvWETH 포지션을 대상으로 했으며, 탈중앙화 금융(DeFi)에서의 토큰 승인과 관련된 보안 위험에 대한 값비싼 경고가 되었습니다.
팩실드 분석가들은 X 포스트를 통해 "사용자가 악성 컨트랙트(0x143a)를 미리 승인했기 때문에 해킹이 가능했다"라며, "이 컨트랙트에는 임의 호출 실행 취약점이 포함되어 있었고, 공격자는 이를 사용하여 사용자의 전체 포지션을 이전했다"라고 설명했습니다.
취약점은 Alchemix나 Yearn Finance 프로토콜 자체에 있었던 것이 아니라, 사용자가 별도의 악성 컨트랙트와 상호작용하는 과정에서 발생했습니다. 해당 컨트랙트에 토큰 사용 승인을 부여함으로써 사용자는 보안 허점을 만들었고, 공격자는 나중에 이를 이용해 자금을 인출했습니다. 이러한 익스플로잇은 사용자가 다양한 애플리케이션과 상호작용하기 위해 광범위한 권한을 부여하는 DeFi 분야에서 반복되는 주제가 되었습니다.
이번 사건은 주요 프로토콜의 코드 감사 범위를 넘어서는 중요한 사용자 측 보안 과제를 강조합니다. 암호화폐 보안의 초점은 주로 프로토콜 수준의 익스플로잇이나 물리적인 '렌치 공격'에 맞춰져 있지만, 가장 크고 지속적인 손실 원인은 종종 피싱과 오래된 승인을 포함한 지갑 관리 소홀 및 사용자 오류에서 비롯됩니다.
토큰 승인은 이더리움과 같은 체인에서 DeFi의 핵심적인 부분으로, 스마트 컨트랙트가 스왑, 스테이킹 또는 대출과 같은 활동을 위해 사용자의 자산과 상호작용할 수 있도록 합니다. 그러나 승인이 취소되지 않으면 무기한 활성 상태로 유지되어 악성 또는 침해된 컨트랙트가 사용할 수 있는 영구적인 허가증이 됩니다. dApp 프런트엔드에서 지갑 연결을 해제한다고 해서 이러한 온체인 권한이 취소되는 것은 아닙니다.
보안 업체 서틱(CertiK)의 2025년 보고서에 따르면, 악성 승인을 포함한 카테고리인 피싱 공격으로 인한 손실은 약 7억 2,300만 달러에 달했습니다. Alchemix 사건은 이러한 위험 벡터의 직접적인 예시입니다. 이는 이자 농사나 거래에 집중하는 사용자들이 흔히 간과하는 부지런한 지갑 관리의 필요성을 강조합니다.
보안 모범 사례는 다중 지갑 접근 방식을 제안합니다. 하나는 dApp과 거의 상호작용하지 않는 장기 보관용, 다른 하나는 일상 활동을 위한 '핫 월렛', 세 번째는 신규 또는 신뢰할 수 없는 애플리케이션을 위한 실험용 지갑입니다. 또한 사용자는 정기적으로 도구를 사용하여 더 이상 사용하지 않는 컨트랙트에 대한 활성 승인을 검토하고 취소해야 합니다.
Alchemix와 관련된 100만 달러의 손실은 개별 보안 관행이 프로토콜 수준의 보안만큼 중요하다는 것을 극명하게 보여줍니다. 이 사건은 Alchemix 자체의 해킹이 아니라 악의적인 행위자에게 권한을 부여한 단일 사용자에 대한 표적 공격이었습니다. 이는 사용자의 끊임없는 경계가 필요함을 재확인시켜 줍니다. 거래에 서명하기 전에 사용자는 컨트랙트 주소를 확인하고, 부여되는 권한을 이해하며, 온체인 위험 노출을 최소화하기 위해 승인을 취소하는 습관을 가져야 합니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
