안녕하세요! 암호화폐 또는 탈중앙화 금융(DeFi, 디파이)에 관심이 있다면 최근 WebKeyDao 공격에 대해 들어보셨을 겁니다. 2025년 3월 15일, 보안 회사인 BlockSec Phalcon이 X(구 트위터)에 이 해킹이 어떻게 발생했는지에 대한 자세한 스레드(thread)를 공유했는데, 이는 흥미롭고(그리고 교훈적인) 이야기입니다. 간단하게 분석해 보겠습니다.

WebKeyDao에 무슨 일이 일어났을까요?

WebKeyDao는 바이낸스 스마트 체인(BSC, Binance Smart Chain) 기반 프로젝트로, 공격자에게 공격을 받아 약 73,000달러의 손실을 입었습니다. 이 익스플로잇(exploit)은 WebKeyDao의 스마트 컨트랙트(smart contract) 중 하나인 보호되지 않은 “buy(구매)” 함수(function)의 취약점 때문에 발생했습니다. 이 함수(function)를 통해 공격자는 1,159 BUSD(Binance USD, 스테이블코인)를 사용하여 매우 저렴한 가격으로 wkeyDao 토큰을 구매할 수 있었습니다. 그런 다음 탈중앙화 거래소(DEX, Decentralized Exchange)에서 해당 토큰을 판매하여 10배의 막대한 이익을 얻어 13,167 BUSD를 챙겼습니다. 정말 충격적입니다!

BlockSec Phalcon의 분석(X 스레드)에 따르면 공격자가 어떻게 이를 수행했는지 알 수 있습니다. @phalcon_xyz 공격자는 취약점을 이용하여 230개의 wkeyDao 토큰을 저렴하게 발행하고 빠르게 판매하여 이익을 얻었습니다. 여기서 흥미로운 점은 취약한 컨트랙트(contract)가 패치(patch)되어 더 이상 익스플로잇(exploit)될 수 없다는 것입니다. 이것이 BlockSec Phalcon이 커뮤니티(community)와 전체 이야기를 공유하는 이유입니다. 다른 사람들이 배우고 안전을 유지하도록 돕기 위해서입니다.

공격자는 어떻게 해킹을 수행했을까요?

핵심 문제는 컨트랙트 주소 0xD5110...CD851에 있는 스마트 컨트랙트(smart contract)의 “buy(구매)” 함수(function)에 있었습니다. 이 함수(function)에는 누군가가 이를 조작하는 것을 막을 수 있는 충분한 보안 검사가 없었습니다. BlockSec Phalcon에 따르면 컨트랙트(contract)는 1,159 BUSD(특정 스토리지 슬롯 0x9c에 저장됨)를 사용하여 230개의 토큰(슬롯 0x9e에 저장됨)을 발행했습니다. 공격자는 저렴한 가격으로 토큰을 구매한 다음 DEX에서 판매하여 막대한 이익을 얻음으로써 이를 악용했습니다.

BlockSec Phalcon의 스레드(thread)에는 코드 스니펫(snippet) 및 트랜잭션(transaction) 로그(log)와 같이 익스플로잇(exploit)이 정확히 어떻게 작동했는지 보여주는 기술 스크린샷(screenshot)이 포함되어 있습니다. 예를 들어, 그들은 buy(구매) 함수(function)의 코드를 강조 표시하고 그러한 조작으로부터 보호가 부족한 부분을 보여주었습니다. 공격자가 익스플로잇(exploit)을 가능하게 하기 위해 판매 정보를 설정하는 트랜잭션(transaction)을 포함하여 공격자의 작업에 대한 단계별 분석도 있습니다.

왜 피해가 더 커지지 않았을까요?

여기서 한 줄기 희망이 있습니다. WebKeyDao의 스마트 컨트랙트(smart contract)에는 안전망이 있었습니다. 여기에는 67개 토큰 판매 임계값이 포함되어 있어 공격자가 전체 1,100만 달러의 유동성 풀(liquidity pool)을 고갈시키는 것을 막았습니다. 해당 임계값이 없었다면 손실은 훨씬 더 클 수 있었습니다. 잠재적으로 최대 737,000달러까지! 이는 완벽하지 않더라도 안전 장치를 마련하는 것이 얼마나 중요한지 보여줍니다.

이것이 DeFi에 의미하는 바는 무엇일까요?

이번 해킹은 특히 바이낸스 스마트 체인(Binance Smart Chain)과 같은 플랫폼에서 DeFi 세계의 위험성을 상기시켜 줍니다. 스마트 컨트랙트(smart contract)는 DeFi 프로젝트의 근간과 같지만, 제대로 감사를 받지 못하면 버그나 취약점이 있을 수 있습니다. WebKeyDao 사건은 독특한 사건이 아닙니다. 다른 DeFi 프로젝트도 CryptoBriefing의 DeFi 취약점 관련 기사 또는 CryptoKnowmics의 바이낸스 스마트 체인(Binance Smart Chain) 컨트랙트(contract) 위험 관련 기사에서 언급된 것과 유사한 공격에 직면했습니다.

암호화폐 분야의 사람들에게 이는 참여하고 있는 모든 DeFi 프로젝트의 보안을 다시 한번 확인하라는 경종입니다. GitHub에서 스마트 컨트랙트(smart contract)가 오픈 소스(open-source)인 WebKeyDao와 같은 프로젝트는 감사할 수 있지만 모든 사람이 철저하게 수행하는 것은 아닙니다. BlockSec Phalcon의 투명성은 매우 유용합니다. 개발자와 사용자 모두에게 무료 수업과 같습니다.

마지막 생각

WebKeyDao 해킹은 안타까운 일이지만 학습 기회이기도 합니다. BlockSec Phalcon의 X에 대한 자세한 분석은 DeFi에서 얼마나 빨리 잘못될 수 있는지, 그리고 보안이 왜 중요한지 보여줍니다. 자세한 내용이 궁금하다면 트랜잭션(transaction) 링크(link) 및 코드 분석을 포함하여 자세한 기술 정보는 전체 스레드(thread)를 확인하세요.

지금은 투자하는 프로젝트를 주시하고 보안을 확인하지 않고 새로운 DeFi 토큰에 뛰어들기 전에 다시 한번 생각해 보세요. 암호화폐 세계에서 안전하게 지내세요!