폴리마켓은 타사 인증 제공업체의 취약점으로 인해 일부 사용자 계정의 자산이 완전히 소진되는 보안 사고가 발생했음을 확인했습니다.
폴리마켓은 보안 침해 사실을 확인했으며, 일부 계정의 자금이 완전히 인출되었다고 밝혔습니다.
암호화폐 시장의 선두 예측 시장 플랫폼인 폴리마켓(Polymarket)은 12월 24일, 자사 프로젝트에서 보안 침해가 발생하여 일부 사용자 계정의 잔액이 전액 손실되었다고 공식 발표했습니다.
사용자들은 의심스러운 링크를 클릭한 적이 없음에도 불구하고 계정이 해킹당했다는 사실을 알게 되었습니다.
- 이 정보는 레딧과 X에서 사기 피해 사례가 잇따라 보고되면서 현재 시장에서 가장 큰 예측 시장 플랫폼의 보안에 대한 우려가 제기된 후 폴리마켓에서 공개되었습니다.
- 이번 주 초, 많은 사용자들이 평소와 다른 로그인 알림을 여러 차례 받았고, 그 후 모든 거래 포지션이 청산되고 잔액이 거의 0이 된 것을 발견했다는 초기 보고가 나왔습니다.
특히 일부 피해자들은 피싱 링크를 클릭하거나 이상한 확장 프로그램을 설치한 적이 없으며 다른 서비스는 정상적으로 작동했다고 진술하여, 사용자 오류보다는 폴리마켓의 로그인 시스템에 문제가 있을 가능성이 높다는 점을 시사했습니다.
폴리마켓은 성명을 통해 해당 오류는 제3자 인증 제공업체에서 발생했다고 주장했습니다.
커뮤니티의 거센 피드백에 따라 폴리마켓은 프로젝트 디스코드 채널을 통해 공식적으로 최근 보안 사고가 발생했으며, 이로 인해 일부 사용자가 영향을 받았다고 확인했습니다.
폴리마켓에 따르면, 해당 취약점은 스마트 계약이나 프로토콜의 핵심 인프라에 있는 것이 아니라 로그인 프로세스에 통합된 제3자 인증 서비스 제공업체에서 비롯됩니다.
- 해당 프로젝트 측은 문제가 발견되어 완전히 해결되었으며, 현재 진행 중인 보안 위험은 없고 대다수 사용자는 영향을 받지 않았다고 밝혔습니다.
- 폴리마켓은 또한 피해를 입은 계정에 직접 연락하여 향후 조치를 안내하겠다고 밝혔습니다. 그러나 플랫폼 측은 피해를 입은 사용자 수, 손실된 자산 규모, 그리고 이번 사건에 연루된 제3자 인증 제공업체의 이름을 공개하지 않아 커뮤니티 내에서 많은 의문이 남아 있습니다.
매직랩스가 커뮤니티에서 거론되고 있습니다.
폴리마켓은 이번 사건에 연루된 제3자 인증 제공업체의 신원을 공개하지 않았지만, 커뮤니티의 많은 사용자들은 매직랩스가 이번 사건의 원인일 가능성이 매우 높다고 보고 있습니다.
- 매직랩스는 폴리마켓에 직접 통합된 이메일 로그인 서비스로, 사용자가 시드 구문을 관리하거나 기존 지갑을 설정할 필요 없이 비수탁형 지갑을 생성할 수 있도록 지원합니다. 이 솔루션은 온보딩 장벽을 크게 낮춰 웹2.0과 유사한 경험을 통해 신규 사용자가 암호화폐에 더 쉽게 접근할 수 있도록 해준다는 점에서 높은 평가를 받고 있습니다.
하지만 바로 이 모델 때문에 보안 취약성에 대한 우려가 자주 제기됩니다. X 플랫폼에서 한 사용자는 의심스러운 링크를 클릭하거나 피싱 이메일을 받은 적이 없음에도 불구하고 Polymarket 지갑의 잔액이 모두 사라졌다고 신고했으며, 해당 계정은 Magic Labs를 통해 생성되었다고 확인했습니다.
- 이와 유사한 피드백으로 인해 커뮤니티에서는 이메일 인증 메커니즘의 취약점이 앞으로도 계속해서 약점으로 작용할지에 대한 의문이 제기되고 있으며, 특히 매직랩스가 자사의 예측 시장 플랫폼과 관련된 보안 사고에 연루된 적이 있다는 점을 고려할 때 더욱 그렇습니다.
폴리마켓이 문제를 일으킨 것은 이번이 처음이 아닙니다.
- 폴리마켓이 제3자와 관련된 보안 사고를 겪은 것은 이번이 처음이 아닙니다. 앞서 2024년 9월, 구글 계정으로 폴리마켓에 로그인한 일부 사용자가 프록시 함수 호출을 통해 USDC 지갑이 완전히 비워진 피해를 입었다고 보고한 바 있습니다. 당시 폴리마켓은 해당 취약점이 외부 인증 제공업체에서 비롯되었을 가능성을 조사했습니다.
- 이후 2025년 11월, 해당 플랫폼은 또 다른 대규모 피싱 공격을 받았습니다. 사기꾼들이 댓글란을 악용하여 가짜 링크를 게시하고 사용자들이 로그인하도록 유도하여 50만 달러 이상의 손실을 초래했습니다.
- 이번 일련의 사건들은 프로토콜의 핵심 스마트 계약이 아니라 사용자 경험 계층 및 웹2와 웹3 간의 하이브리드 인증 메커니즘에 존재하는 시스템적 위험을 드러냅니다.
Coin68 편집
