암호화폐 거래소 코인베이스는 수요일 잘못 구성된 기업 지갑과 0x 탈중앙화 거래소 프로토콜 간의 상호 작용을 자동화된 거래 봇이 악용해 약 $300,000의 토큰 수수료 손실을 입었음을 확인했습니다. 이 사건은 코인베이스가 0x의 "교환자" 계약에 대한 사용 권한을 부여하면서 발생했으며, 이는 최대 추출 가능 가치 봇들이 승인을 감지하자마자 즉시 자금을 빼내게 하였습니다.
알아야 할 것:
- 코인베이스는 MEV 봇이 잘못 구성된 기업 지갑을 악용하여 0x의 교환자 계약에 잘못된 토큰 승인을 했을 때 $300,000을 잃었습니다
- 거래소의 최고 보안 책임자는 고객 자금에는 영향이 없었으며, 고립된 사건이라고 밝혔습니다
- MEV 봇은 노출된 계약에 사용 권한을 부여받을 때까지 기다리다가 즉시 드레인을 실행했습니다
공격의 기술적 분석
코인베이스의 최고 보안 책임자인 필립 마틴은 X에 게시글을 통해 이 손실이 회사의 기업 탈중앙화 거래소 지갑 변경에서 발생한 "고립된 문제"라고 언급했습니다. 그는 사건 내내 고객의 자금은 영향을 받지 않았다고 강조했습니다.
Venn 네트워크의 보안 연구원 "deeberiroz"가 수요일 아침에 처음으로 이 공격을 발견했습니다. 연구원은 코인베이스가 교환자 계약에 잘못 된 토큰을 승인했다고 설명했습니다. 이는 거래를 실행하기 위해 설계된 권한 없는 도구지만, 토큰 허용량을 보유하도록 의도된 것이 아닙니다. 이 설정 오류로 인해 MEV 봇들이 이러한 취약점을 지속적으로 모니터링하는 기회를 제공했습니다.
MEV, 즉 "최대 추출 가능 가치"는 자동화된 프로그램이 이익을 얻기 위해 블록체인 거래를 앞서거나 재배치하는 관행을 설명합니다. 이 경우, 봇들은 코인베이스가 부주의하게 부여한 승인 권한을 철회하기 전에 토큰 전송을 실행했습니다.
연구원은 MEV 봇이 "사용자가 이 계약에 잘못 승인해 주기를 어둠 속에서 기다리고 있는 것 같다"고 X에 적었습니다. 코인베이스가 승인 실수를 했을 때, 이러한 봇들은 즉시 기회를 활용하여 거래소의 수수료 수신 계정에 누적된 토큰을 빼내갔습니다.
거래소 보안에 대한 광범위한 시사점
0x 교환자 계약의 권한 없는 특성은 어떤 당사자든 이를 호출하여 승인된 토큰을 자신의 주소로 직접 전송할 수 있는 방법을 제공했습니다. 이러한 디자인 특성은 탈중앙화 거래를 가능하게 하면서도 코인베이스의 지갑에 대해 MEV 봇들이 악용할 수 있는 취약점을 만들었습니다.
$300,000의 손실은 코인베이스에 미미한 재정적 영향을 주었지만, 이 사건은 주요 암호화폐 거래소가 정교한 자동 거래 공격에 얼마나 취약하게 노출되어 있는지를 강조합니다.
잘 확립된 플랫폼조차도 상대적으로 작지만 기술적으로 고급스러운 블록체인 조작에 의해 피해를 볼 수 있습니다.
MEV 봇들은 이더리움과 기타 블록체인 네트워크 전반에 걸쳐 지속적인 행위자로 자리 잡았습니다. 그들은 밈풀 모니터링 및 거래 재배치 능력을 통해 토큰 출시, NFT 민팅 이벤트 및 유동성 제공 활동을 악용하여 이익을 발생시킵니다.
MEV와 탈중앙화 금융 용어 이해
MEV는 블록체인 검증인 또는 봇 운영자가 자신들이 생성한 블록 내에서 거래를 포함, 제외 또는 재정렬하여 추출할 수 있는 최대 이익을 나타냅니다. 원래는 작업 증명 네트워크에서 "채굴자 추출 가능 가치"로 불렸지만, 블록체인 합의 메커니즘이 다각화되면서 "최대 추출 가능 가치"라는 용어로 발전 했습니다.
0x 프로토콜은 중앙화된 중개자 없이 암호화폐의 피어 투 피어 거래를 가능하게 하는 탈중앙화 거래소 인프라로 작동합니다. 이 교환자 계약은 토큰 교환을 용이하게 하지만 사용자 자금에 대한 무단 액세스를 방지하기 위해 주의 깊은 권한 관리를 필요로 합니다.
코인베이스가 운영하는 수수료 수신 계정은 거래소 운영에서 발생한 거래 수수료 및 기타 수익을 수집합니다. 이러한 지갑은 종종 상당한 양의 토큰 잔액을 축적하기 때문에 보안 구성에 실패했을 때 악의적인 봇들로부터 매력적인 표적이 됩니다.
이번 경우에는 봇들이 고가의 지갑들이 노출된 계약에 잘못된 사용권을 부여할 때까지 단순히 모니터링하고 있었고, 코인베이스의 수수료 수신 계정이 이 실수를 저지른 후, 자동화된 시스템이 즉각적으로 자금 드레인을 실행하여 현대 MEV 운영의 속도와 효율성을 보여주었습니다.
마무리 생각
코인베이스 사건은 탈중앙화 금융 프로토콜을 통합할 때 거래소가 직면하는 기술적 복잡성을 강조합니다. 재정적 영향은 제한적이었고 고객 자금은 손상되지 않았지만, 이 공격은 자동화된 봇들이 구성 오류를 계속해서 모니터링하고 있으며, 짧은 시간이라도 기회를 잡기 위해 대기하고 있음을 보여줍니다.