22일, 소셜 웹3 애플리케이션 UXLINK는 자사의 멀티시그 지갑이 해킹당해 1,130만 달러 이상의 자산이 도난당하고 빠르게 매각되었으며, 토큰 가격이 한 시간 만에 70% 이상 폭락했다고 밝혔습니다 . 이 사건은 프로젝트의 시총 심각한 타격을 입혔을 뿐만 아니라, 멀티시그 지갑이 "최후의 방어선"으로 여겨진다는 통념을 깨뜨렸습니다.
이 사건은 2025년 9월 22일에 발생했습니다. 공식 발표에 따르면 도난당한 자산에는 약 400만 달러 상당의 USDT와 USDC, 래핑 비트코인(WBTC), 이더리움(ETH), 그리고 네이티브 UXLINK 토큰이 포함되었습니다. 해커들은 자금을 중앙화 및 탈중앙화 거래소 에 분산시킨 후 약 80만 달러 상당의 UXLINK 토큰을 매각하여 단 한 시간 만에 7천만 달러 이상의 시장 시총 를 앗아갔습니다. 투자자들은 유동성을 인출하기 위해 몰려들었고, 시장은 혼란에 빠졌습니다.
공격 경로: 다중 서명 메커니즘의 "비밀 문"
블록체인 보안 회사 슬로우 미스트 (SlowMist) Technology의 설립자 Yu Xian은 X 플랫폼을 통해 상황을 분석한 결과 , Safe 다중 서명 지갑의 개인 키 유출에 핵심이 있다고 결론지었습니다. 공격자는 먼저 개인 키를 획득한 후, 원래 다중 서명 소유자를 주소 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87 로 변경했습니다. 그런 다음 스마트 계약 delegateCall 사용하여 합법적인 관리자를 제거하고 addOwnerWithThreshold 사용하여 자신을 다중 서명에 추가했습니다. 이로써 자금 이체를 위한 다중 서명 메커니즘이 사실상 무효화되었습니다.
"공격자는 먼저 개인 키를 훔친 다음 delegateCall을 사용하여 다중 서명 소유자를 변경합니다. 추가 검증 없이 기존 다중 서명을 단일 키로 잠글 수 있습니다."
이 글은 다중 서명 설계의 가장 큰 맹점을 지적합니다. 개인 키 보관과 스마트 계약 권한 관리에 균열이 생기면 보안 게이트가 쓸모없게 됩니다.
긴급 대응: 시간과의 경쟁 동결 작전
사건 이후 UXLINK 팀은 보안 회사 PeckShield와 협력하여 자금 흐름을 추적하고 여러 CEX 및 DEX 거래소에 동결 요청을 제출했습니다. 현재 대부분의 자산은 동결되었으며, 익명 주소로 유입된 것은 아직 확인되지 않았습니다. 관계자들은 사용자 지갑에 대한 직접적인 공격은 감지되지 않았다고 강조했습니다. 자산 회수 및 보상 계획을 발표하고, 가해자를 추적하기 위해 법 집행 기관과 협력할 예정입니다.
다중 서명 지갑의 다음 단계: 신뢰에 얼마나 많은 잠금을 추가할 수 있을까?
2024년에서 2025년 사이 발생한 최대 규모의 멀티시그 지갑 침해 사건 중 하나인 이 사건은 "멀티시그 = 보안"이라는 단순한 관념에 도전합니다. 암호화폐 프로젝트는 다음과 같은 점을 기억해야 합니다. 첫째, 개인 키 관리는 여전히 기본입니다. 둘째, 스마트 컨트랙트는 정기적인 감사 와 동적 모니터링이 필요합니다. 셋째, 프로젝트가 자체 자산을 위험에 노출시키면 가격 변동이 단 몇 분 만에 발생할 수 있습니다. 업계의 신뢰를 회복하려면 멀티시그의 수에만 의존할 것이 아니라, 계약 아키텍처, 권한 설계, 실시간 리스크 모니터링을 통해 추가적인 안전 장치를 구현해야 합니다.
블록체인 세계는 "계약서에 적힌 내용은 변경할 수 없다"는 현실과는 아직 거리가 있습니다. 다모클레스의 검이 떨어지면, 다중 서명 지갑의 원래 보안 후광은 더욱 엄격한 검증을 받게 될 것입니다.
