[블록미디어 양원모 기자] 온체인 탈중앙화거래소(DEX) 애그리게이터 스왑넷에서 스마트컨트랙트 공격이 발생해 1680만달러(약 242억원) 규모의 디지털자산이 탈취됐다. 이번 사건은 디파이 생태계에서 토큰 승인 방식과 제3자 라우팅 계약이 안고 있는 구조적 보안 리스크가 다시 부각됐다는 평가를 낳고 있다.
스왑넷 관련 사고는 26일(현지시각) 디파이 보안업체 펙실드의 분석을 통해 알려졌다. 공격자는 0x 팀이 개발한 DEX 애그리게이터 매차 메타에서 접근 가능한 스왑넷 연계 활동을 노린 것으로 파악됐다.
펙실드에 따르면 공격자는 베이스 네트워크에서 약 1050만달러(약 151억원) 규모의 유에스디코인(USDC)을 3655이더리움(ETH)으로 교환한 뒤 자금 추적·회수를 어렵게 하기 위해 이를 이더리움 메인넷으로 이전했다.
매차 메타 측은 이번 노출이 “자체 핵심 인프라에서 비롯된 것은 아니”라고 설명했다. 피해 대상은 0x의 원타임 승인 시스템을 비활성화한 이용자들이었다. 해당 기능을 끈 이용자들은 스왑넷 라우터를 포함한 하위 애그리게이터 계약에 직접 승인 권한을 부여했고, 이 지점이 공격 경로로 악용된 것으로 분석됐다.
매차 메타는 “스왑넷 팀과 협력해 문제의 계약을 일시 중단하고 조사에 착수했다”며 0x 원타임 승인 체계 밖에서 개별 애그리게이터에 부여한 승인 권한을 즉시 철회할 것을 권고했다. 특히 스왑넷 라우터 계약 주소는 가장 시급히 철회해야 할 대상으로 지목됐다.
원타임 승인은 거래마다 승인을 요구해 공격 표면을 줄일 수 있지만, 잦은 거래에는 불편함을 준다. 반면 무제한 승인은 속도와 편의성을 제공하지만 계약이 침해될 경우 지갑 전체가 위험에 노출될 수 있다. 스왑넷은 현재까지 사후 분석 결과나 보상 방안을 공개하지 않았다.
한편, 같은 날 이더리움 메인넷에서도 검증되지 않은 폐쇄형 계약에서 약 37비트코인(BTC) 상당의 추가 피해가 보고됐다. 비인크립토는 “최근 잇단 사건이 디파이 생태계가 여전히 구조적 취약성과 씨름하고 있음을 보여준다”고 지적했다.
