SwapNet은(는) 탈중앙화 거래소(DEX) 애그리게이터로, 공격자가 손상된 라우터 컨트랙트를 악용해 보안 기능을 끈 사용자의 토큰에 지속적인 승인 권한을 이용하면서, 약 1,343만 달러 상당의 암호화폐 자산을 잃었다.
무슨 일이 있었나: DEX 애그리게이터 익스플로잇
보안 업체 PeckShield는 공격을 보고했다. 이번 공격은 0x 팀이 구축한 메타 DEX 애그리게이터인 Matcha Meta를 통해 접근 가능한 SwapNet 관련 활동을 노렸다. 취약점은 0x의 원타임 승인(One-Time Approval) 시스템을 비활성화해, 하위 애그리게이터 컨트랙트에 직접 권한을 부여한 사용자들에게 영향을 미쳤다.
Base 네트워크에서 공격자는 약 1,050만 달러 상당의 USDC (USDC)를 약 3,655개의 이더(ETH) (ETH)로 교환한 뒤, 이 자금을 이더리움 (ETH) 메인넷으로 브리징했다.
이런 방식은 자금 추적을 어렵게 만들기 위해 자주 사용되는 전형적인 전술이다.
Matcha Meta 측은 성명에서 “원타임 승인을 꺼둔 사용자들이 Matcha Meta에서 노출되었을 수 있는 SwapNet 관련 사고를 인지하고 있다”고 밝혔다. 플랫폼은 사용자들이 승인 해제를 가장 시급히 해야 할 대상으로 SwapNet 라우터 컨트랙트(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)를 지목했다.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
왜 중요한가: 지속되는 디파이 취약성
이번 사건은 탈중앙화 금융(DeFi)에서 편의성과 보안 사이의 근본적인 긴장을 다시 한 번 드러냈다. 원타임 승인 방식은 사용자가 거래 때마다 개별적으로 승인을 요구해, 공격 표면을 줄이는 대신 잦은 거래자에게는 불편함을 준다. 반면 무제한 승인 방식은 거래 속도와 편의성을 제공하는 대신, 스마트 컨트랙트에 사용자 자금에 대한 지속적인 접근 권한을 부여해 리스크를 키운다.
SwapNet은 아직 기술적 사고 분석 보고서를 공개하지 않았으며, 피해 사용자에 대한 보상 여부도 밝히지 않았다.
같은 날, 보안 감사인 Pashov는 이더리움 메인넷에서 약 37개의 WBTC (WBTC), 즉 310만 달러 이상 규모가 관련된 별도의 익스플로잇을 포착했다. 이 사건은 41일 전에 배포된 비공개 소스, 미검증 컨트랙트와 연계된 것으로 알려졌다.
약 한 달 전에는 디파이 커뮤니티가 트러스트 월렛(Trust Wallet) 해킹 사건으로 큰 충격을 받았다.
Trust Wallet은 약 700만 달러 상당의 암호화폐가 탈취되었다고 확인했다. 공격은 손상된 브라우저 확장 프로그램 업데이트를 통해 이뤄졌으며, 12월 24일 배포된 크롬 확장 프로그램 2.68 버전에만 영향을 미쳤다. 다행히 모바일 지갑 사용자는 피해를 보지 않았다. 트러스트 월렛을 소유한 **바이낸스(Binance)**의 창립자 **창펑 자오(Changpeng Zhao)**는 모든 피해 사용자에게 전액 보상하겠다고 밝혔다.
이번 기사는 Matcha에서 새롭게 공개한 data를 바탕으로, 익스플로잇으로 인한 사용자 손실 규모를 수정한 내용을 반영해 1월 27일 업데이트되었다.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?