코인베이스(Coinbase)가 0x 프로젝트 스마트 계약에 잘못된 토큰 승인을 하면서 약 30만 달러 상당의 수수료 수익을 잃는 사고가 발생했다. 이번 실수로 인해 대기 중이던 최대 추출 가치(MEV) 봇이 자금을 즉시 빼내갔다.
8월 14일(현지시간) 암호화폐 전문 매체 코인텔레그래프에 따르면, 벤 네트워크(Venn Network) 소속 보안 연구원 디비즈(Deebeez)는 코인베이스의 법인 지갑이 0x의 ‘스와퍼(swapper)’ 계약과 상호작용했다고 지적했다. 이 계약은 스왑 실행만 가능하도록 설계됐으나, 토큰 승인을 받는 구조가 아니어서 누구나 호출해 임의의 작업을 수행할 수 있었다. 이로 인해 승인을 부여하면 자산이 즉시 탈취될 위험이 있었다.
디비즈가 공개한 자료에 따르면, 코인베이스는 이날 오후 Amp, 마이원프로토콜(MyOneProtocol), 덱스툴스(DEXTools), 스웰 네트워크(Swell Network) 등 여러 토큰에 대한 승인을 부여했다. 이후 MEV 봇이 해당 계약을 호출해 코인베이스 수수료 수취 계정에 있던 승인된 토큰을 모두 자신의 주소로 이체했다.
디비즈는 이 MEV 봇이 오랫동안 사용자의 잘못된 승인만 기다려왔다고 설명하며, 이번 사태를 “코인베이스 덕분에 꿈을 이룬 순간”이라고 꼬집었다. 그는 코인베이스 수수료 계정의 모든 토큰이 빠져나간 이번 사건을 팀이 비싼 대가를 치른 교훈이라고 평가했다.
코인베이스 최고 보안 책임자 필립 마틴(Philip Martin)은 해당 사건을 법인 DEX 지갑의 구성 변경과 관련된 단발성 문제라고 밝혔다. 그는 고객 자금은 전혀 피해를 입지 않았으며, 토큰 허용을 취소하고 남은 자산은 새 법인 지갑으로 옮겼다고 설명했다.
이번 사례는 올해 4월 발생한 다른 MEV 봇 피해와 비교된다. 당시 한 MEV 봇은 접근 제어 시스템의 취약점이 노출되면서 18만 달러 상당의 이더리움(Ethereum, ETH)을 잃었고, 2023년에는 악성 검증자가 샌드위치 거래를 시도하는 MEV 봇에서 2,500만 달러 상당의 디지털 자산을 훔친 바 있다.
*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*
<저작권자 ⓒ 코인리더스 무단전재 및 재배포 금지>
|
  많이 본 기사
|
