IPOR Labs는 이더리움 확장 네트워크인 아비트럼에서 운영하던 USDC 퓨전 옵티마이저 금고가 해킹으로 인해 약 33만6,000달러(약 4억8,644만 원)의 손실을 입었다고 발표했다. 해킹 피해는 오래된 스마트 계약의 보안 취약점과 이더리움의 최근 업그레이드인 EIP-7702에서 도입된 위임 실행 기능을 조합하여 악용한 것이다.
이번 사건은 블록체인 보안 회사 헥사가이트와 블록에이드가 이상 거래를 탐지하며 시작됐다. IPOR Labs는 내부 조사를 통해 해킹이 ‘퓨즈(fuse)’ 설정을 악용한 공격 거래로 발생했음을 확인했다. 해커는 탈취한 자산을 이더리움 메인넷으로 이동시킨 후, 믹싱 서비스인 토네이도캐시를 통해 자금을 세탁하는 과정을 거쳤고, 보안 업체 서틱은 이 흐름을 추적하여 약 33만 달러가 믹싱된 것을 포착했다.
해킹의 원인은 두 가지 조건이 조합된 것으로 분석된다. 첫째, 피해를 입은 금고는 490일 전 구축된 구형 버전으로, ‘퓨즈’라는 계약 모듈의 진위를 확인하는 절차가 누락되어 있었다. 이로 인해 공격자는 관리자의 권한을 탈취하여 악의적인 퓨즈를 삽입할 수 있었다. 둘째, EIP-7702와 같은 최신 이더리움 업그레이드가 공격의 경로를 제공했다. 공격자는 위임 계약을 통해 관리자 계정을 가장하고 ‘임의 호출’ 기능을 이용하여 금고의 출금 기능을 직접 호출, 자금을 자신의 지갑으로 이체하는 치밀한 방법을 사용했다.
IPOR Labs는 공격이 금고 출금 기능이 작동하는 순간에 맞춰 이루어졌으며, 기존의 보안 시스템이 이를 즉시 차단하지 못했다고 밝혔다. 다행히 IPOR는 새로운 버전으로 배포된 모든 금고에 퓨즈 검증 체계를 도입하여 동일한 방식의 해킹이 불가능하다고 강조했다. 또한, IPOR DAO는 피해 복구를 위해 33만6,000달러 상당의 자금을 지급할 계획이며, 이는 전체 플랫폼 자금의 1% 미만에 해당한다. IPOR는 보안 업체 SEAL과 협력하여 자금 흐름을 추적하고 있으며, 교환소와의 협력을 통해 도난 자산 환수 작업도 진행 중이다.
최근 통계에 따르면, 2025년 12월 동안의 암호화폐 해킹 규모는 7,600만 달러로 전월 대비 60% 감소하였으나, 2026년 1월부터 다시 급격한 해킹이 증가하고 있다. 특히 크로스체인 지갑 공격 및 멀티시그 지갑 탈취와 같은 새로운 유형의 공격이 빈번하게 발생하고 있다. 이는 코드의 보안성은 개선되고 있지만, 운영상의 실수 및 사용자 습관이 새로운 취약점으로 부각되고 있다는 전문가들의 경고를 보여준다.
결론적으로, IPOR Labs의 해킹 사건은 암호화폐 및 DeFi 플랫폼들이 여전히 스마트 계약 안전성과 새로운 표준 도입에 대한 위협에 취약하다는 것을 다시 한 번 상기시킨다. 따라서 구형 스마트 계약을 확인하고 정기적인 감사, 사용 권한에 대한 철저한 이해, 새로운 기능 도입 시 보안 체계의 강화와 같은 예방 조치가 필수적이라고 할 수 있다.
