계약서를 오프라인으로 보관하는 것은 단순히 문서화의 문제가 아니라 보안 관리의 필수적인 부분입니다.
글쓴이: 지노 마토스
작성: 루피, 포사이트 뉴스
요약:
- 해커들이 Raydium의 오래전에 운영이 중단된 V3 자동 마켓메이커(AMM) 풀에서 약 134만 달러를 훔쳐갔습니다.
- 이번 사건은 흔히 발생하는 문제점을 드러냅니다. 이미 서비스가 종료된 DeFi 프로젝트의 오래된 계약들이 여전히 온체인 정상적으로 실행되고 있다는 것입니다. 이렇게 잊혀진 기반 시설들이 공격의 손쉬운 표적이 되고 있습니다.
- 공개된 보고서에 따르면 2025년 3월 이후 업계에서 오래된 계약서가 도난당한 유사 사례가 최소 8건 발생했으며, 이는 대량 오래된 코드가 관리되지 않은 채 외부에서 접근 가능할 수 있음을 의미합니다.
최근 Raydium AMM V3의 취약점으로 인해 134만 달러의 손실이 발생했습니다. 해당 프로젝트는 기존 제품 시스템 외부에 있는 5개의 풀과 관련이 있었습니다. 이 풀들은 Raydium의 UI나 SDK에서 지원되지 않아 일반 사용자는 접근할 수 없었지만, 해커들에 의해 악용되었습니다.
이번 공격은 업계에서 방치되어 온 구식 계약 및 기반 인프라를 표적으로 삼아 스마트 계약의 전체 수명 주기 관리에서 중대한 취약점을 드러냈습니다. 이러한 문제는 솔라나 생태계 내의 이 탈중앙화 거래소 에만 국한된 것이 아닙니다.
간과된 리스크 범주
공개적으로 입수 가능한 보안 사고 보고서에 따르면, 2025년 3월 이후 구식, 시대에 뒤떨어진 또는 효력이 없는 계약으로 인해 발생한 공격 사례가 최소 8건 있으며, 총 손실액은 약 1,080만 달러에 달합니다.
오래된 펀드 풀과 구형 지원 제품으로 인해 발생한 보안 사고를 통계에 포함하면 관련 사고 건수는 10건(이번 레이디엄 도난 사건 포함)에 달하며, 총 손실액은 약 2,250만 달러입니다.
현재 업계 대부분의 보안 사고 추적 플랫폼은 공격 유형을 기술적 원인에 따라 분류합니다. 일반적인 분류에는 스마트 계약 코드 취약점, 접근 제어 실패, 오라클 변조, 개인 키 유출 및 크로스체인 브리지 결함 등이 있습니다.
좀비 계약(즉, 프로젝트에서 더 이상 사용하지 않는다고 발표했지만 온체인 정상적으로 호출될 수 있는 오래된 계약)은 완전히 다른 차원의 리스크 에 속합니다. 이는 계약 수명주기 관리 문제로 인해 발생하는 보안 사고이지만, 항상 다양한 기존 취약점 통계에 포함되어 별도로 분류되지 않습니다.
Raydium의 V3 자동 마켓메이커(AMM) 유동성 풀이 버려진 이유는 해당 풀이 의존했던 Serum 프로젝트가 공식적으로 종료되어 기존 계약이 원래 기능을 완전히 잃었고, 그에 따른 유동성 자산이 온체인 상에서 사용되지 않고 있기 때문입니다.
Raydium의 현재 새로운 계약은 두 가지 핵심 정보를 확인하기 위해 이중 검증 메커니즘을 사용합니다. 첫째, 총 공급량 검증 메커니즘을 통해 자산 점유비율 검증하고, 둘째, 유동성 토큰의 민트 주소와 다양한 관련 계정 정보를 검증합니다.
하지만 이 구식 V3 계약은 이러한 두 가지 검증 절차를 완전히 생략하고 있습니다. 해커들은 이 취약점을 악용하여 새로운 유동성 토큰을 위조하고 합법적인 자격 증명을 사칭함으로써 모든 위험 관리 규칙을 직접적으로 우회했습니다.
이번 사건으로 총 약 150,177 RAY, 5,603 SOL, 그리고 893,700 USDC가 도난당했습니다. 이 자산들은 플랫폼의 기존 유동성 풀에 오랫동안 보관되어 있었습니다. 비록 주류 업무 대상은 아니었지만, 온체인 접근 권한은 차단되지 않았습니다.
여덟 가지 사례는 공통적인 문제점을 드러낸다
2025년 이후 여러 유명 DeFi 프로젝트에서 오래된 계약 문제로 어려움을 겪었습니다. 이러한 사건들은 모두 공통적인 특징을 가지고 있는데, 프로젝트 팀은 현재 제품 버전과 활성 사용자는 영향을 받지 않았다고 주장하지만, 오래된 계약이 완전히 종료되지 않았기 때문에 결국 프로젝트 재정에 막대한 손실이 발생했습니다.
오래된 계약 리스크 왜 간과되는 걸까요?
현재 업계의 대부분 보안 사고 분류 시스템은 공격 방법, 변조 대상, 코드 오류에 초점을 맞추고 있는데, 이는 "기술적 취약점에서 출발하는" 분석적 관점입니다. 이러한 접근 방식으로는 좀비 계약 관련 문제를 간과하기 쉽습니다. 좀비 계약 문제의 핵심은 코딩 오류가 아니라, 프로젝트 담당자가 기존 계약을 완전히 종료했어야 했는데 그러지 못한 데 있습니다.
2025년에 발표된 한 업계 연구 보고서는 2022년부터 2025년까지 발생한 주요 글로벌 암호화폐 보안 사고 50건을 분석했으며, 누적 손실액이 10억 달러를 넘어섰습니다. 이 연구는 고위험 온체인 공격이 종종 인적 운영, 일상적인 유지 관리, 경제 모델, 계약 수명 주기, 커뮤니티 거버넌스를 포함한 여러 수준의 리스크 복합적으로 작용한 결과라고 지적했습니다.
본 논문은 계약 생명주기 관리 취약점, 커뮤니티 거버넌스 취약점, 코드 작성 취약점을 각각 독립적인 리스크 범주로 명시적으로 분류하는 4단계 근본 원인 분석 프레임 제안합니다. 좀비 계약 문제는 대표적인 생명주기 관리 취약점입니다. 그러나 기존 보안 통계 시스템에서는 이러한 사건들이 모두 "코드 취약점"으로 분류되어 관련 손실 데이터가 다른 분류에 가려져 업계의 충분한 관심을 끌지 못하고 있습니다.
'계약 폐기장'을 조심하세요: 노후화된 시설들이 새로운 공격 이슈.
만약 DeFi 프로젝트들이 "계약 종료"를 사소한 문제로 취급하여, 유휴 자산을 이전하거나, 호출 기능을 비활성화하거나, 상태를 지속적으로 모니터링하지 않고 단순히 제품 문서에 "이 계약은 비활성화되었습니다"라고만 표기한다면, 해커들은 이러한 "계약 무덤"을 계속해서 공격할 것입니다.
이제 모든 대형 DeFi 프로젝트의 과거 배포 기록이 해커들이 검색하고 악용할 수 있는 표적이 되었습니다. 현재까지 추산되는 2,250만 달러의 손실액은 공개된 사례만을 나타낸 것이며, 실제 리스크 훨씬 더 클 것으로 예상됩니다.
자산은 포함하고 있지만 주류 사용자 프로세스와 분리된 구식 펀드 풀, 과거 승인 인터페이스 및 초기 협업 모듈 현재 업무 시스템에 비해 운영 및 모니터링 노력이 훨씬 부족하여 해커의 주요 공격 대상이 됩니다.
현 상황을 개선하기 위해서는 첫째, '좀비 계약'을 독립적인 리스크 범주로 분류하고 관련 사건을 별도로 통계 분석해야 합니다. 둘째, 계약 폐기 절차를 표준화된 보안 절차에 포함시키고 코드 감사 와 동등한 중요성을 부여해야 합니다. 포괄적인 생명주기 관리를 시행해야만 공격 범위를 효과적으로 줄일 수 있습니다.
현재 업계의 손실 처리 방식은 대체로 유사합니다. Raydium은 프로젝트 자금을 활용하여 134만 달러의 손실을 보전했으며, Transit Finance와 Huma Finance 또한 프로젝트 팀이 사용자 손실을 부담하도록 했습니다.
이는 계약서를 오프라인으로 보관하는 것이 더 이상 단순한 문서 작업이 아니라 필수적인 보안 관리 단계임을 의미합니다.
계약 해지를 위한 7가지 보안 관리 기준
기존 계약 종료를 위해 업계는 표준화된 관리 및 통제 절차를 수립할 수 있으며, 그 구체적인 요건과 기능은 다음과 같습니다.
단순히 문서에 계약을 "중단"으로 표시하는 것은 보안 리스크 프로젝트 저장소로 옮기는 것에 불과하며, 공격에 대한 취약성은 여전히 남아 있습니다. 제품 수준에서만 서비스 종료를 발표하고 기술적으로 완전히 종료하지 않으면 기존 계약에 계속 접근할 수 있게 됩니다. 프로젝트 팀은 관리 소홀에 빠진 반면, 해커들은 항상 기회를 엿보고 있습니다.
탈중앙화 금융(DeFi) 프로젝트의 가치는 현재 자산 예치 규모뿐만 아니라 과거 코드와 기반 아키텍처에도 있습니다. 하지만 이러한 잊혀진 역사가 이제 새로운 보안 취약점으로 변모했습니다.
