SYNAPLOGIC 공격에 대한 종합 분석
요약
2026년 1월 20일, 온체인 AI 게임 생태계 프로젝트인 SynapLogic이 스마트 계약 취약점 공격을 받아 약 18만 6천 달러의 손실이 발생했습니다. 공격자는 추천 시스템 매개변수 검증 누락 취약점을 악용하여 플래시 론(Flash loan) 통해 193건의 의심스러운 거래로 ETH를 과도하게 클레임 약 14만 4천 개의 SYP 토큰을 민트(락업 메커니즘으로 인해 판매할 수 없음). 프로젝트 팀은 UTC 기준 04시 44분에 계약을 일시 중단하고 취약점을 수정하여 모든 사용자 자금의 안전을 확인했으며, 손실은 프로토콜 볼트에 한정되었습니다.
이벤트 개요
기본 정보
공격 시간 : 2026년 1월 20일. 첫 번째 보안 경고는 UTC 기준 02:06에 발령되었으며, BlockSec/Phalcon은 02:32에 경보를 발령했습니다.
영향을 받는 프로젝트 : SynapLogic (@SynapLogic)
- Base 체인을 기반으로 구축된 AI 기반 Web3 레이어 2 게임 생태계.
- 온체인 게임 개발 도구, NFT 마켓플레이스, 지갑 및 인프라를 제공합니다.
- 공식 웹사이트: https://synaplogic.ai/
- 트위터 팔로워 수: 82,124명 (2026년 1월 기준)
토큰 정보 :
- 토큰 기호: SYP (SYNAP LOGIC)
- 계약 주소: 0x2bdd3602fc526aa5cc677cd708375dd2f7c4256f (베이스 체인)
- 총 공급량: 3억
- 공격 당시 가격: 1.37~1.38달러
- 완전 희석 시가총액(FDV): 4억 1,180만 달러
취약점 메커니즘 분석
기술적 세부 사항
취약점 위치 : 계약(주소가 0xC859로 시작) 구현 내의 ` swapExactTokensForETHSupportingFeeOnTransferTokens 함수(함수 선택기 0x670a3267)입니다.
핵심적인 결함 :
- 매개변수 유효성 검사 누락 : 이 함수는 입력 매개변수의 유효성을 검사하지 않습니다. 세 번째 매개변수는 화이트리스트/추천 로직을 제어하지만 임의로 조작될 수 있습니다.
- 결제 확인 누락 : 총 ETH 결제 금액이 msg.value를 초과하는지 확인되지 않아 공격자가 여러 번 자신을 수신 주소로 설정할 수 있습니다.
- 추천 보상 취약점 : 공격자는 자신을 추천인 목록에 반복적으로(최대 31회) 추가하여 310% 이상의 보상을 획득할 수 있습니다.
공격 과정
- 자금 조달 준비 : 공격자는 토네이도 캐시(Tornado Cash)를 사용하여 이더 메인넷에서 코인을 믹싱하고, 가스집(GasZip) 서비스를 이용하여 베이스 체인으로 연결했습니다.
- 플래시 론(Flash loan) 주기 : 193건의 의심스러운 거래에서, 각 ETH 대출 후:
- 취약한 계약을 호출하고 추천 목록을 조작합니다.
- 매번 약 16,000개의 SYP 토큰이 민트.
- 초과된 ETH 보상을 동시에 클레임(최대 310% 수익률).
- 토큰 락업 : 민트 락업/소유권 메커니즘으로 인해 양도 또는 판매할 수 없으며, 공격자가 시장에 대량으로 유통시키는 것을 방지합니다.
온체인 증거
영향을 받는 계약
| 계약 유형 | 주소 | 설명하다 |
|---|---|---|
| SYP 토큰 계약 | 0x2bdd3602fc526aa5cc677cd708375dd2f7c4256f | 베이스 체인 메인 계약 |
| 취약점 기반 계약 구현 | 0xC859... | 부분 주소에는 취약한 함수가 포함되어 있습니다. |
| 유동성 풀 | 0x1558a635e0234dbf958ad3faf32edd350e4fc966 | 219,200달러 적립금, 2025년 10월 8일 적립. |
공격 특성
- 의심스러운 거래 건수 : 193건
- 민트 총 토큰 수 : 약 144,000 SYP (현재 잠겨 있음)
- 단일 민트 : 약 16,000 SYP
- 자금 조달원 : Tornado Cash 믹서 → GasZip 크로스체인 → 기본 체인
- 자금 목적지 : 공격자의 계약 내에 남아 있으며, 거래소 나 다른 주소로 이체되지 않습니다.
손실 평가
손실액의 차이
| 원천 | 예상 손실액 | 설명하다 |
|---|---|---|
| BlockSec/Phalcon/Bitget/Phemex | 약 18만 6천 달러 | ETH 과잉 클레임 및 SYP 민트 대한 가치 평가를 포함합니다. |
| 텐아머/멕시코 | 약 88,000달러 | 실제로 클레임 ETH 금액 |
| 사이버스 | 144,000 SYP | 토큰은 민트 판매할 수 없습니다. |
영향 범위
- 금고는 약 8만 8천 달러에서 18만 6천 달러에 달하는 직접적인 손실을 입었습니다.
- 사용자 자금 : 손실 없음; 프로젝트 팀은 모든 사용자 자산의 안전을 확인했습니다.
- 공격자의 수익 : 실제 ETH 수익은 약 88,000달러입니다. 민트 SYP는 락업으로 인해 현금화할 수 없습니다.
지역사회 대응
보안 기관 분석
BlockSec Phalcon은 매개변수 유효성 검사 및 결제 확인 부족이 수익 클레임.
Weilin Li(@hklst4r) : 추천 시스템의 업무 로직 오류를 분석하여 공격자가 자기 참조를 여러 번 사용하여 300% 이상의 수익률을 달성했음을 지적하고, 락업 메커니즘이 토큰 유동화를 막았다는 점을 설명했습니다.
CertiK 경고 : 플래시 론(Flash loan) 이용한 193건의 의심스러운 화폐 발행 거래가 발생했음을 알리며, 검증되지 않은 계약에 대한 주의를 촉구합니다.
Cyvers Alerts : Tornado Cash를 통한 공격자의 융자 및 크로스체인 경로를 추적한 결과, 수정 후에도 SYP 포지션 여전히 미해결 상태임을 확인했습니다.
커뮤니티 정서
- 기술적 초점 : 보안 전문가들은 DeFi 계약 업무 로직의 취약점을 지적하며, 보호를 위해 매개변수 유효성 검사 및 추천 메커니즘 강화를 촉구했습니다.
- 신속한 대응 : 프로젝트 팀과 보안 회사의 신속한 대응은 투명성을 통해 불안감을 완화하는 긍정적인 요소로 간주됩니다.
- 전반적인 정서 : 전문가들은 기술적인 우려를 표명하고 있지만, 공식 채널들은 자금의 안전성을 강조하며 중립적이거나 안심시키는 입장을 유지하고 있습니다.
- 업계 교훈 : 플래시 론(Flash loan) 공격은 수수료 이체 메커니즘 감사 의 필요성을 강조합니다
공식 성명
SynapLogic의 공식 트위터 계정은 2026년 1월 20일 04:44 UTC에 다음과 같은 성명을 발표했습니다.
해당 문제는 완전히 해결되었습니다. SynapLogic 시스템은 이제 정상적으로 작동하며 모든 사용자 자금은 안전하게 보호됩니다.
후속 조치 :
- 계약이 중단되었습니다.
- 취약한 계약이 BlockSec 모니터링 목록에서 제거되었습니다(UTC 03:11).
- 2026년 1월 20일 20시 50분(UTC) 현재, 추가적인 자금 유출이나 복구 진행 상황은 보고되지 않았습니다.
프로젝트의 최근 진행 상황
| 날짜 | 이벤트 |
|---|---|
| 2025년 10월 8일 | 유동성 풀 출시 |
| 2026년 1월 7일 | 에어드랍 이벤트가 시작되었습니다 |
| 2026년 1월 12일 | 사전 판매의 75%가 완료되었습니다. |
| 2026년 1월 13일 | 바이낸스 웹3에 출시되었습니다. |
| 2026년 1월 18일 | OKX Web3 출시 |
| 2026년 1월 20일 02:06 UTC | 첫 번째 보안 경보 발령 |
| 2026년 1월 20일 04:44 UTC | 문제가 해결되었다는 공식 확인입니다. |
| 2026년 1월 20일 12시 15분 UTC | Gate Web3에서 출시됨 |
결론적으로
SynapLogic 공격은 DeFi 스마트 계약의 업무 로직 검증의 중요성을 강조합니다. 18만 6천 달러에 달하는 손실에도 불구하고, 프로젝트의 신속한 대응과 사용자 자금 손실 제로 덕분에 장기적인 영향은 최소화되었습니다. 공격자가 민트 14만 4천 개의 SYP 토큰은 락업 메커니즘으로 인해 현금화할 수 없었고, 이는 시장 매도를 막았습니다. 이 사건은 웹3 게임 생태계 프로젝트에 중요한 보안 경고를 제공합니다. 복잡한 추천 및 보상 시스템은 특히 수수료 이체 및 플래시 론(Flash loan) 관련된 계약 기능에 대해 엄격한 매개변수 검증 및 경계 감사 거쳐야 합니다.