디파이(DeFi) 기반의 거래소 애그리게이터인 매차 메타(Matcha Meta)에서 보안 사고가 발생하여 약 1,680만 달러, 즉 약 244억 원에 해당하는 암호화폐가 탈취됐다. 이번 사건은 매차 메타의 핵심 인프라가 아닌, 외부 유동성 공급자 스왑넷(SwapNet)에서 발생한 것으로 확인되었다.
상황의 발단은 매차 메타 사용자 중 일부가 ‘원타임 승인(One-Time Approval)’ 기능을 비활성화한 채 개별 애그리게이터 컨트랙트에 직접적으로 토큰 사용 권한을 부여한 것이었다. 매차 메타는 25일 공식 SNS를 통해 이러한 사실을 공지하며, 해당 기능을 사용하지 않은 사용자들이 피해를 입었을 가능성이 있다고 경고했다. 특히 스왑넷 팀은 현재 관련 스마트 계약을 임시 중단한 상태이다.
해커는 약 10초 만에 1,680만 달러 규모의 자산을 탈취하였다. 블록체인 보안업체 펙쉴드(PeckShield)의 보고서에 따르면, 해커는 먼저 베이스(Base) 네트워크에서 1,050만 달러 상당의 USD코인(USDC)을 3,655 ETH로 교환한 후, 이를 이더리움으로 브릿지(Bridge)하여 자산을 이동한 것으로 알려졌다. 또 다른 보안업체 서틱(CertiK)은 이번 해킹에서 사용된 지갑 주소가 약 1,330만 달러 규모의 USDC를 인출한 사실을 포착했다고 밝혔다.
이번 공격은 스왑넷의 컨트랙트 내 ‘임의 호출 초과 권한’의 취약점에서 발생한 것으로 분석된다. 해커는 피해자들이 과거에 승인한 권한을 악용하여 자산을 탈취한 것이다. 이에 대해 매차 메타 측은 해커의 공격 경로가 자신의 원타임 승인 시스템이 아닌, 직접 승인을 선택한 사용자들을 겨냥한 것이라고 강조했다. 이들은 해당 시스템을 이용한 사용자들이 안전하다는 점을 명확히 하였고, 향후 매차 메타는 직접 토큰 승인 기능을 삭제할 계획이다.
이번 해킹 사건은 디파이 생태계의 심각한 보안 문제를 다시 한번 드러냈다. ‘토큰 승인’ 기능의 사용자 승인 범위가 장기간 유지되는 경우, 제3자에게 악용될 수 있다는 경고는 여러 차례 제기되어왔다. 2025년 기준으로 스마트 계약 취약점은 전체 암호화폐 해킹 피해의 약 30%를 차지하며, 이는 주요 사고 원인으로 지목되고 있다. 블록체인 보안업체 슬로우미스트(SlowMist)의 보고서에 따르면, 인공지능 기술의 발전으로 해킹 자산 탐지 및 공격 속도가 더욱 빨라지고 있다는 분석이 있다.
디파이 프로토콜의 자율성과 유연성이 강점으로 평가되는 만큼, 사용자 권한 설정에 따른 보안 리스크는 앞으로도 계속해서 발생할 가능성이 있다. 매차 메타 해킹 사건은 디파이 참여자들에게 기본 보안 설정의 중요성을 각인시키는 사례로 남을 전망이다. 현재 디파이 생태계에서는 이러한 보안 취약점을 방지하기 위한 교육과 인식 향상이 절실히 요구되고 있다.
