SwapNet이라는 탈중앙화 거래소(DEX) 애그리게이터가, 사용자가 핵심 보안 기능을 비활성화한 뒤에도 남아 있던 지속적인 토큰 승인 권한이 부여된 손상된 라우터 컨트랙트가 공격자에게 악용되면서, 약 1,680만 달러 상당의 암호화폐 자산을 잃었다.
무슨 일이 있었나: DEX 애그리게이터 익스플로잇
보안 업체 PeckShield는 이 공격이 0x 팀이 구축한 메타 DEX 애그리게이터인 Matcha Meta를 통해 접근 가능한 SwapNet 연동 활동을 겨냥했다고 보고했다. 이 취약점은 0x의 원타임 승인(One-Time Approval) 시스템 사용을 거부하고, 기반 애그리게이터 컨트랙트에 직접 권한을 부여한 사용자를 대상으로 했다.
Base 네트워크에서 공격자는 약 1,050만 달러 상당의 USDC (USDC)를 약 3,655개 이더(ETH) (ETH)로 교환한 뒤, 이를 이더리움 (ETH) 메인넷으로 브리지했다.
이런 방식은 추적을 어렵게 만들기 위해 자주 사용되는 전형적인 전술이다.
“우리는 One-Time Approvals를 끈 사용자들이 Matcha Meta에서 노출되었을 수 있는 SwapNet 관련 사건을 인지하고 있습니다.”라고 Matcha Meta 측은 밝혔다. 플랫폼은 사용자가 가장 시급히 승인 해제를 해야 할 대상으로 SwapNet 라우터 컨트랙트(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)를 지목했다.
관련 기사: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
왜 중요한가: 반복되는 디파이 취약점
이번 사건은 탈중앙화 금융(DeFi)에서 편의성과 보안 사이의 근본적인 긴장을 다시 한번 드러냈다. 원타임 승인은 각 거래마다 개별 승인을 요구해 지속적인 공격 표면을 줄이지만, 잦은 거래를 하는 사용자에게는 불편함을 초래한다. 반면 무제한 승인 방식은 거래 속도와 편의성을 제공하는 대신, 스마트 컨트랙트에 사용자 자금에 대한 지속적인 접근 권한을 부여하는 위험을 감수해야 한다.
SwapNet은 아직 기술적 사고 분석 보고서를 공개하지 않았으며, 피해 사용자 보상 여부에 대해서도 입장을 밝히지 않았다.
같은 날, 보안 감사자 Pashov는 이더리움 메인넷에서 약 37개 WBTC (WBTC), 310만 달러 이상 규모가 관련된 별도의 익스플로잇을 포착했다. 이 사건은 41일 전 배포된 비공개 소스, 미검증 컨트랙트와 연관된 것으로 알려졌다.
약 한 달 전에는 Trust Wallet 해킹 사건이 디파이 커뮤니티를 충격에 빠뜨렸다.
Trust Wallet은 약 700만 달러 상당의 암호화폐가 유출되었다고 확인했다. 공격은 악성 브라우저 확장 프로그램 업데이트를 통해 이뤄졌다. 이 침해는 12월 24일 배포된 크롬 확장 프로그램 2.68 버전에만 영향을 미쳤으며, 모바일 지갑 사용자는 피해를 입지 않았다. Trust Wallet의 모회사인 **바이낸스(Binance)**의 창립자 **창펑 자오(Changpeng Zhao)**는 모든 피해 사용자를 전액 보상하겠다고 밝혔다.
다음 읽을거리: Why Are Whales Buying Seeker While Smart Money Sells?