탈중앙거래소(DEX) 통합 플랫폼인 Matcha Meta에서 발생한 보안 침해로 약 1,680만 달러 상당의 암호화폐 자산이 도난당했습니다. 이는 탈중앙화 금융(DeFi) 사용자들의 안전에 대한 기대를 시험하는 스마트 계약 악용 사례 목록에 또 다른 사례로 추가되었습니다.
이번 사건은 일요일에 발생했으며, Matcha의 핵심 인프라가 아닌 플랫폼에 통합된 유동성 공급자 중 하나인 SwapNet에서 원인이 밝혀진 것으로 나타났습니다.
Matcha Meta는 X에 게시한 글에서 "일회성 승인" 기능을 비활성화하고 개별 애그리게이터 계약에 직접 토큰 허용량을 부여한 사용자가 위험에 노출되었을 수 있다고 공개적으로 밝혔 습니다.
해당 프로토콜은 영향을 받은 사용자들에게 SwapNet 라우터 계약과 관련된 승인을 즉시 취소할 것을 촉구하며, 그렇게 하지 않을 경우 지갑이 추가적인 무단 이체에 취약해질 수 있다고 경고했습니다.
1,700만 달러가 순식간에 사라졌습니다: Matcha 해커들이 어떻게 이더리움으로 자금을 빼돌렸을까요?
블록체인 보안 업체들은 자금이 블록체인 상에서 이동함에 따라 해당 취약점을 신속하게 추적하기 시작했습니다.
PeckShield는 총 약 1,680만 달러가 유출되었다고 보고했으며 , 공격자는 Base 네트워크에서 약 1,050만 달러 상당의 USDC를 약 3,655 이더리움(ETH) 로 교환한 후 자산을 이더리움으로 연결하기 시작했습니다.
CertiK는 자체적으로 의심스러운 거래를 포착하여, Base 플랫폼에서 약 1,330만 달러 상당의 USDC를 빼돌려 래핑된 이더리움으로 변환한 한 지갑을 확인했습니다.
두 회사 모두 SwapNet 계약에 취약점이 있어 임의 호출이 가능하며, 이로 인해 공격자가 사용자가 이전에 승인한 토큰을 전송할 수 있다고 지적했습니다.
마차는 이후 해당 사건이 0x의 일회성 승인 시스템의 기반이 되는 AllowanceHolder 또는 Settler 계약과는 관련이 없다고 해명했습니다 .
해당 팀은 일회성 승인 기능을 사용하여 Matcha와 상호 작용한 사용자는 영향을 받지 않았다고 밝혔는데, 이는 이러한 설계 방식이 제3자 계약이 보유할 수 있는 접근 권한의 범위를 제한하기 때문입니다.
팀 측은 이러한 노출은 해당 시스템에서 제외되어 집계 계약에 직접 지속적인 허용량을 부여한 사용자에게만 적용된다고 밝혔습니다. 이에 따라 Matcha는 향후 사용자가 이러한 직접 승인을 설정할 수 있는 옵션을 제거했습니다.
기존 토큰 승인 방식이 지속적인 DeFi 취약점으로 떠오르고 있습니다.
이번 보안 침해는 탈중앙 금융(DeFi)에서 유연성과 안전성 사이의 고질적인 갈등을 부각시켰습니다. 스마트 계약과의 상호작용에 필수적인 토큰 승인은, 특히 거래 완료 후에도 오랫동안 권한이 유지되는 경우 취약점으로 작용해 왔습니다.
이 경우, SwapNet 계약이 손상된 후 이전에 부여된 권한이 악용 경로가 되었습니다.
이번 사건은 암호화폐 업계 전반에 걸쳐 스마트 계약 보안에 대한 우려가 지속되는 가운데 발생했습니다.
SlowMist의 연말 보고서에 따르면 스마트 계약의 취약점은 2025년 암호화폐 관련 공격의 30% 이상을 차지하여 손실의 주요 원인이 될 것으로 나타났습니다.
연구원들은 또한 인공지능의 발전으로 공격자들이 온체인 코드의 취약점을 식별하고 악용하는 속도가 빨라지고 있다고 경고했습니다.
12월 암호화폐 관련 전체 손실액은 전월 대비 약 60% 감소한 약 7,600만 달러를 기록했지만, 보안 업체들은 이러한 감소가 구조적인 개선을 반영하는 것은 아니라고 경고했습니다.
펙쉴드는 단 한 건의 주소 도용 사기로 12월 손실액이 5천만 달러에 달했다고 지적하며, 비교적 한산한 시기에도 개별 사건이 얼마나 집중적이고 심각할 수 있는지를 보여준다고 밝혔다.
1월에는 이미 몇 가지 주목할 만한 해킹 사건이 발생했습니다. IPOR Labs는 아비트럼(Arbitrum) 의 USDC Fusion Optimizer 금고 에 대한 33만 6천 달러 규모의 공격을 확인했으며 , Truebit은 온체인 분석가들이 8,500 이더리움(ETH) 이상을 유출시킨 것으로 추정하는 스마트 계약 오류를 공개하여 프로젝트 토큰 가격이 거의 완전히 폭락하는 사태를 초래했습니다.
지난주, 레이어 1 네트워크인 Saga는 약 7백만 달러 상당의 자산이 이더리움으로 이동된 공격 사건 이후 SagaEVM 체인 운영을 일시 중단했습니다 .
