예측 시장 플랫폼 Polymarket은 공격자들이 서드파티 프론트엔드 벤더를 침해해 11개 사용자 지갑에서 자금을 빼내면서 총 310만 달러의 손실을 입었다.
플랫폼의 자체 스마트 컨트랙트는 이번 사건 내내 감사를 통과한 상태 그대로 유지되며 훼손되지 않았다.
보고서에 따르면, 도난당한 PUSD 토큰은 크로스체인 브리지를 통해 Polygon(POL)에서 Ethereum(ETH)으로 이동됐다. Polymarket은 어떤 벤더가 침해됐는지 아직 공개하지 않았다.
공격 방식
프론트엔드 벤더에 대한 공격은 사용자를 플랫폼의 기본 컨트랙트와 연결해 주는 웹 인터페이스를 노린다. 자금은 스마트 컨트랙트가 보관·관리하지만, 사용자는 서드파티 소프트웨어 제공자가 구축·유지하는 브라우저 기반 레이어를 통해 상호작용한다.
이번 사례에서 공격자는 그 인터페이스 레이어에 악성 코드를 주입한 것으로 보인다. 공격 기간 동안 Polymarket 프론트엔드와 상호작용한 피해 사용자들의 지갑 승인 거래가 공격자 측으로 리디렉션되었다. 침해가 탐지되기 전까지 11개 지갑에서 자금이 유출되었다.
스마트 컨트랙트가 감사를 통과했다는 사실은, 공격 벡터가 컨트랙트 레이어 “상단”에 있을 경우에는 보호 효과가 제한적임을 보여준다.
보안 사고 후 강해지는 규제 조사 압박
Polymarket은 미국 상품선물거래위원회(CFTC)가 미국 사용자 접근을 둘러싼 조사를 시작한 이후 높은 수준의 규제 감시 하에서 운영돼 왔다. 2026년까지 이어지고 있는 CFTC 조사는, Polymarket의 예측 시장이 미국 사용자에게 제공되는 미등록 상품(commodity) 계약에 해당하는지 여부를 중심으로 진행되고 있다.
이 플랫폼은 2024년 미국 대선 주기 동안 주류의 관심을 끌었는데, 당시 대선 결과 확률을 보여주는 지표로 언론 보도에서 널리 인용되었다. 이런 가시성은 사용자 증가와 동시에 규제 당국의 주목도 가져왔다. 진행 중인 CFTC 조사와 고프로필 보안 사고가 겹치면서, 플랫폼 운영사에 대한 평판 리스크가 더욱 커진 상황이다.
예측 시장 보안은 업계에서 반복적으로 제기되는 우려 사항이다. 프론트엔드 공격은 핵심 프로토콜이 아니라 서드파티 공급자를 침해하는 방식이기 때문에 특히 방어가 어렵다. 지난 2년 동안 여러 DeFi 플랫폼이 이와 유사한 공급망(Supply-chain) 형태의 침해를 겪었다.
함께 읽기: 236% 급등 후, Micron은 월가의 다음 AI 집착 대상이 되었다
앞으로의 전망
Polymarket은 피해 사용자들에게 보상을 제공할지 여부를 아직 확정하지 않았다. 또한 침해된 벤더의 신원도 공개하지 않아, 외부에서 공격 체인 전반에 대한 보안 검토를 수행하는 데 제약이 있다.
CFTC 조사는 상황을 한층 복잡하게 만든다. 해킹에 관한 어떤 공개 발언도 현재 진행 중인 규제 절차와 교차할 수 있다. 도난 자산이 브리지를 통해 Ethereum으로 이동한 만큼 이론적으로는 추적이 가능하지만, 프론트엔드 벤더가 연루된 공격에서 자산을 회수한 사례는, 법 집행기관의 개입 없이는 드물다.