핵심 요약
DeFi 마켓 메이커인 TrustedVolumes가 이더리움상의 커스텀 스왑 인프라 취약점을 이용한 공격으로 약 670만 달러 상당의 디지털 자산을 분실했습니다. 1인치 퓨전(1inch Fusion) 프로토콜의 리졸버로 활동하는 이 회사는 보안 침해 사실을 확인했으며, 도난당한 자금이 세 개의 별도 이더리움 지갑에 보관되어 있다고 밝혔습니다.
암호화폐 보안 업체 사이버스(Cyvers)의 수석 보안 운영 책임자인 하칸 우날(Hakan Unal)은 디크립트(Decrypt)에 "근본 원인은 허가 없는 서명자 등록, 깨진 재전송 보호(replay protection), 그리고 검증되지 않은 전송 소스 필드의 조합이었다"고 말했습니다. 보안 업체 블록에이드(Blockaid)가 무단 활동을 가장 먼저 포착했으며, 이후 서틱(CertiK)이 공격자가 신뢰할 수 있는 서명자로 등록하여 자금을 인출할 수 있게 한 구체적인 공격 벡터를 확인했습니다.
블록에이드 데이터에 따르면 도난당한 자산에는 약 1,291 WETH, 126만 USDC, 206,282 USDT, 16.93 WBTC가 포함됩니다. TrustedVolumes는 전체 손실액을 확인하고 각각 약 300만 달러, 300만 달러, 70만 달러를 보유한 세 개의 지갑 주소를 공개했습니다. 이 회사는 X(구 트위터)를 통해 "버그 바운티 및 상호 수용 가능한 해결책에 관한 건설적인 소통에 열려 있다"고 전했습니다.
탈중앙화 금융 애그리게이터인 1인치는 자사의 핵심 프로토콜과 사용자 자금은 피해를 입지 않았음을 강조하며 이번 사건과 거리를 두었습니다. TrustedVolumes는 자체적인 독립 스마트 계약을 운영하며 1인치의 여러 유동성 공급원 중 하나로 기능할 뿐, 이번 공격은 해당 업체의 시스템 내부로 한정되었습니다. 1인치 플랫폼은 X에 "1인치나 1인치 프로토콜 중 어느 것도 관련되지 않았음을 확인한다"며, 일부 보도의 프레이밍이 "궁극적으로 혼란을 주고 해롭다"고 덧붙였습니다.
이번 취약점은 공격자가 공개 함수를 호출하여 승인된 권한을 획득할 수 있게 했으며, 보안 전문가들은 이 결함이 더 큰 손실로 이어질 수도 있었다고 지적합니다. 사이버스의 우날은 "재전송 보호가 작동하지 않아 공격자가 승인된 추가 계정들을 반복적으로 털어갔을 가능성도 있었다"고 언급했습니다. 이번 사건은 복잡한 스마트 계약 상호작용에 의존하는 DeFi 프로토콜이 직면한 지속적인 보안 과제를 잘 보여줍니다.
블록체인 분석 업체들은 공격자가 2025년 3월 1인치 퓨전과 관련된 이전 사건과 연관이 있다고 보고 있으며, 이는 DeFi 생태계 내의 취약점을 노리는 지속적인 공격자의 존재를 시사합니다. 한편 1인치는 보안 파트너들과 협력하여 공격을 분석하고 그 결과를 지속적인 보안 및 통합 프로세스에 반영하고 있다고 밝혔습니다.
이 기사는 정보 제공만을 목적으로 하며 투자 조언을 구성하지 않습니다.
