암호화폐 세계는 잠들지 않으며, 해커들도 마찬가지입니다. 최근 UXLINK 프로젝트가 고액 익스플로잇의 최신 피해자가 되었고, 능숙한 공격자는 멀티시그 지갑을 침해해 약 2,810만 달러 상당의 ETH를 탈취했습니다. 이 사건은 crypto 해설가 MartyParty가 X에 올린 스레드에서 조명되었으며, 수년간 업계를 괴롭혀온 Ethereum 스마트 컨트랙트의 지속적 취약점을 다시 한번 드러냅니다.

암호화폐 커뮤니티에서 잘 알려진 목소리인 MartyParty는 이를 또 다른 re-entrancy 공격으로 지목했지만, 상세 내용을 보면 delegateCall 악용에 더 가깝습니다. 그는 오랫동안 Solidity의 이런 함정들을 경고해왔고, 이번 해킹은 그 경고가 현실로 나타난 사례입니다. 블록체인 기술을 막 접하는 사람도 이해하기 쉽도록 단계별로 설명해 보겠습니다.

UXLINK 해킹에서는 무슨 일이 벌어졌나?

Lookonchain의 온체인 분석에 따르면, 해커는 UXLINK의 multisig wallet을 표적으로 삼았습니다 — 이 지갑은 거래에 다중 서명을 요구해 보안을 강화하도록 설계되어 있습니다. 그러나 공격자는 이 보호 장치를 완전히 우회했습니다. 공격자는 4억 9천만 $UXLINK 토큰을 획득했고, 추가로 20억 개를 더 민트했습니다. 이후 토큰들은 여섯 개의 서로 다른 지갑을 통해 DEX들에 걸쳐 덤핑되어 6,732 ETH(당시 약 2,810만 달러 상당)를 벌어들였습니다. 추가 판매는 CEX들에서도 이루어져 시장을 범람시키며 토큰 가격을 폭락시켰습니다.

해커의 주소는 다음을 포함합니다:

• 0x78786A967ee948Aea1ccD3150f973Cf07d9864F3
• 0x9212f3a4528492622A02aF8bbc59A44c6c3c3539
• 그리고 원문 게시물에 나열된 여러 주소들.

이 대규모 매도는 단 24시간 만에 $UXLINK를 73% 이상 폭락시켰고, 가격은 약 $0.0877로 떨어졌으며 시가총액은 3,690만 달러 수준으로 축소됐습니다.

익스플로잇 작동 방식: delegateCall의 심층 분석

이번 침해의 핵심은 Ethereum의 delegateCall 함수를 교묘히 이용한 것입니다. MartyParty는 첨부한 그래픽에서 이를 상세히 설명했습니다. Multisig wallets는 포트녹스 수준의 보안을 의도하지만, 기반 스마트 컨트랙트에 결함이 있다면 모든 것이 무용지물이 됩니다.

요약하면 다음과 같습니다:

1. DelegateCall 악용: 공격자는 외부 Ethereum 주소에서 지갑 컨트랙트로 delegateCall을 실행했습니다. 간단히 말해 delegateCall은 한 컨트랙트가 다른 컨트랙트의 코드를 호출하면서 호출하는 컨트랙트의 컨텍스트(스토리지와 밸런스 등)를 유지하게 합니다. 업그레이더블 컨트랙트나 프록시에서 자주 사용되지만, 신중하게 구현되지 않으면 외부인이 계약을 직접 소유하지 않고도 로직을 장악할 수 있습니다. 비유하자면 남의 자동차 열쇠를 빌려 운전 중에 엔진을 재프로그래밍하는 것과 같습니다.

2. 관리자 권한 제거: 이 장악된 접근권을 사용해 delegateCall로 기존 관리자 역할들을 제거했습니다. 이는 합법적 소유자들을 차단하고 해커에게 자유로운 권한을 부여하는 결과를 낳았습니다.

그래픽에 모든 세부가 담기지는 않았지만, 이후 공격자는 자신에게 새로운 관리자 권한을 할당해 대규모 토큰 민팅과 전송을 가능하게 했을 것으로 보입니다. 이는 전형적인 re-entrancy(예: 2016년 The DAO 해킹처럼 계약이 작업을 마치기 전에 자기 자신을 다시 호출하는 유형)와는 다소 다르며, 오히려 프록시/로직 주입 취약점에 가깝습니다. 그럼에도 불구하고 오래된 Solidity 문제들이 새로운 프로젝트들에서 반복적으로 표면화된다는 점을 여실히 보여줍니다.

온체인 증거: 트랜잭션과 덤프 기록

Lookonchain의 스크린샷은 사후 상황을 명확히 보여줍니다. 우리는 대량의 $UXLINK가 ETH로 교환된 반복적인 Uniswap V4 실행을 봅니다 — 1,500만, 800만 등 배치 단위로 스왑이 이뤄져 매번 수백 ETH를 취득했습니다. 이후 자금은 Bitget, KuCoin, Gate.io 같은 CEX로 브리지되거나 예치되었고, 빠른 속도로 각각 1,000만 토큰씩 유출되었습니다.

왜 이 사건이 밈 토큰에 중요한가

UXLINK는 엄밀히 말해 순수한 밈 토큰은 아니고 Web3 소셜 플랫폼과 연관되어 있지만, 이 같은 익스플로잇은 밈 코인 커뮤니티에 큰 경각심을 줍니다. 많은 밈 프로젝트들이 급하게 감사되었거나 아예 감사를 거치지 않은 컨트랙트로 Ethereum에서 런칭되기 때문에 주요 타깃이 됩니다. delegateCall 위험은 업그레이더블 토큰 표준에서 흔히 발생하며, 한 번의 실수로 무한 민팅이나 유동성 풀 고갈로 이어질 수 있습니다.

밈 토큰을 개발하거나 투자한다면 다음을 유념하세요:

• Audit Thoroughly: reputable firms를 이용하고 delegateCall, re-entrancy, 접근 제어 결함을 테스트하세요.
• Multisig Best Practices: time-locks 같은 보호장치 없이 관리자 기능을 노출하지 마세요.
• Stay Informed: MartyParty나 Lookonchain 같은 분석가를 팔로우해 실시간 경고를 확인하세요.

이번 해킹은 Ronin부터 Poly Network까지 이어진 긴 Ethereum 문제 목록에 또 하나를 추가했습니다. MartyParty가 농담처럼 말했듯이, "그 목록에 하나 더 추가된 셈"입니다. 하지만 더 나은 교육과 도구가 있다면 앞으로는 그 목록을 줄일 수도 있을 것입니다.

전체 스레드와 커뮤니티 반응은 원문 게시물 on X를 확인하세요. 여러분 생각은 어떻습니까—또 하나의 경종인가, 아니면 그저 암호화폐의 일상사일 뿐인가요? 아래에 의견을 남겨주세요.