미국 최대의 암호화폐 거래소, Coinbase, 보안 사고 발생
미국 최대의 암호화폐 거래소인 Coinbase가 분산형 거래 프로토콜 0x와의 상호작용 설정 오류로 인한 사고의 피해자가 되었습니다. 이로 인해 회사는 약 30만 달러를 잃게 되었으며, 이는 자동화된 MEV 봇(Miner Extractable Value) — 블록체인 거래의 순간적 취약점을 이용하는 프로그램들에 의해 탈취되었습니다.
Venn Network의 보안 연구원인 deeberiroz의 조사에 따르면, Coinbase의 기업 지갑은 실수로 0x 계약에 대한 토큰 인출 권한(approve)을 부여했습니다. 이 계약은 오픈되어 있으며 호출에 제한이 없기 때문에, 네트워크의 어떤 사용자라도 거래를 시작할 수 있습니다. 이 경우, 블록체인을 지속적으로 스캔하여 이러한 오류를 찾아내는 봇들이 즉시 취약점을 발견하고, 거래소의 수수료 지갑에서 Amp, MyOneProtocol, DEXTools 및 Swell Network의 토큰을 포함한 자금을 전송했습니다.
이번 공격의 특징은 0x 자체가 해킹되지 않았다는 점입니다. 범죄자들은 프로토콜 코드를 침해하지 않았고, 단순히 실수로 발급된 합법적으로 공개된 권한을 이용했습니다. 이는 탈중앙화된 환경에서 거래를 취소할 수 없는 조건에서 사용자 또는 운영상의 오류를 이용한 전형적인 사례입니다.
Coinbase의 정보 보안 책임자인 필립 마틴은 이번 사고를 확인하며, 기업 지갑 구성의 기술 업데이트 과정에서 발생했다고 설명했습니다. 그는 고객의 자금에는 영향을 미치지 않았고, 이번 사건은 내부 운영 자산에만 영향을 미쳤으며, 유사한 상황이 회사의 다른 시스템에서 반복되지 않을 것이라고 강조했습니다.
연구자는 이러한 방식이 이전에도 사용되었음을 지적했습니다. 특히 Base 네트워크에서 Zora 에어드랍 중에, 봇들이 자신의 지갑에 대한 접근 권한을 우연히 부여한 사용자로부터 토큰을 대량으로 탈취했던 사례가 있습니다. 이는 개별 사용자와 대형 플레이어 모두가 DeFi에서 승인을 다룰 때의 위험을 완전히 인식하지 못하고 있다는 시스템적 취약점을 나타냅니다.
이번 사고에 대응하여 Coinbase는 모든 의심스러운 approve 거래를 무효화하고, 남은 자산을 보안 매개변수가 개선된 새로운 기업 지갑으로 이전했습니다. 또한 회사는 향후 유사한 오류를 방지하기 위해 내부 권한 관리 프로토콜을 재검토하고 있습니다.