미국 최대 암호화폐 거래소인 코인베이스($COIN)가 스마트컨트랙트 승인 실수로 인해 약 30만 달러(약 4억 1,700만 원) 상당의 토큰 수수료를 탈취당한 것으로 알려졌다. 이를 초래한 사건은 퍼미션리스(Permissionless) 구조로 설계된 0x 프로젝트의 스왑퍼(Swapper) 계약을 잘못 운용한 결과로, MEV(최대 추출 가치) 봇이 이 취약점을 악용해 자금을 빼낸 것으로 보인다.
보안 분석 기업 벤 네트워크의 연구원 디비즈(Deebeez)는 이 사건에 대해 3일(현지시간) X 플랫폼에서 자세한 내용을 공개했다. 디비즈의 설명에 따르면, 코인베이스는 기업용 지갑을 통해 0x 프로젝트의 스마트컨트랙트에 자산 승인 권한을 부여했다. 이 스왑퍼는 본래 토큰 교환을 위한 도구로 설계되었으나, 일반적인 승인 기능을 전혀 고려하지 않은 상태였다.
퍼미션리스 방식의 스왑퍼는 누구든지 호출할 수 있으며, 이에 따라 토큰 승인 기능이 적용될 경우 즉시 악의적인 행위자에게 노출될 위험이 존재한다. 디비즈는 “해당 스왑퍼는 과거에도 베이스(Base) 체인에서 조라(Zora) 토큰 클레임과 관련된 사건이 있었으며, 이번에도 유사한 형태의 무단 자금 이전 사건이 발생했다”고 설명했다.
공개된 스크린샷에 따르면, 코인베이스는 여러 토큰(Amp, MyOneProtocol, DEXTools, Swell Network 등)에 대해 수수료 수령 계정에서 승인을 진행한 후, MEV 봇이 이 권한을 활용하여 스왑퍼 계약을 호출하고 즉시 자금을 다른 주소로 전송하여 탈취를 완료했다. 이러한 실수는 스마트컨트랙트 보안의 기본 원칙을 간과한 것으로 확인되고 있다. 누군가에게 임의로 호출 가능한 컨트랙트에 승인 권한을 부여하는 것은 사실상 암호화폐를 넘기는 것과 같은 결과를 초래할 수 있다.
전문가들은 코인베이스와 같은 대형 기관이 이런 초보적인 실수를 범한 것에 대해 우려를 표명하며, 스마트컨트랙트 상호작용에 대한 보다 엄격한 검증 절차를 도입해야 한다고 지적하고 있다. 이는 앞으로 유사한 사고를 방지하기 위한 필수적인 조치로 보인다. 코인베이스는 이번 사건을 통해 발생한 피해를 극복하기 위해 보안 강화에 나설 필요성이 커지고 있다.
본 사건은 현대 암호화폐 산업에서 스마트컨트랙트의 안전성과 신뢰성을 더욱 강화해야 하는 중요한 경각심을 불러일으키고 있다. 코인베이스는 향후 이러한 사고가 재발하지 않도록, 기술적 대책 및 운영 절차의 보완이 필요할 것으로 보인다.
