Frank, PANews 작성

9월 22일, 암호화폐 시장은 낮 동안 급격한 하락세로 인해 여전히 침체되어 있었고, 밤에는 새로운 서리가 내렸습니다.

9월 22일 저녁, 기대를 모았던 SocialFi 프로젝트 UXLINK가 해킹당했습니다. 공격자들은 계약 취약점을 악용하여 프로젝트 자금에서 400만 달러를 훔친 후, 무려 10조 개의 토큰을 발행하고, 대규모 온체인 매도를 통해 자금을 빼돌려 결국 1,100만 달러 이상의 이익을 챙겼습니다. 이 소식은 시장의 신뢰를 즉시 무너뜨렸고, UXLINK 토큰 가격은 몇 시간 만에 80% 이상 폭락했으며, 시가총액은 약 1억 4천만 달러에서 1,680만 달러로 급락했습니다. 그러나 해킹 24시간 후인 9월 23일 저녁, 오랜 역사를 자랑하는 런치패드 플랫폼 Seedify.fund의 네이티브 토큰 SFUND도 영향을 받았습니다. 크로스 체인 브리지 자금에서 170만 달러 이상의 자산이 유출되면서 SFUND의 가격은 사상 최저치를 경신하고 시가총액은 1,000만 달러 이상 증발했습니다.

이틀 동안 겉보기에 전혀 관련 없어 보이는 두 프로젝트가 표적 해커의 공격으로 시가총액 1억 달러 이상을 휩쓸었습니다. 이로 인해 모든 암호화폐 업계와 투자자들은 스스로에게 다음과 같은 질문을 던지게 되었습니다. 변동성이 심한 시장 사이클을 넘어, 코드 깊숙이 숨겨진 보안 취약점이 암호화폐 세계에 드리운 진정한 다모클레스의 검일까요?

UXLINK의 "낮의 번개": 치명적인 권한 게임

UXLINK의 붕괴는 스마트 계약 권한 취약점으로 인한 전형적인 "내부 폭발"이었습니다. 사건 전체가 마치 정교하게 연출된 기술 범죄 영화처럼 빠르고 치명적으로 전개되었습니다.

이 사건의 주요 원인은 간과된 "마스터 키"에서 비롯되었습니다. 분석 결과 공격자의 첫 번째 움직임은 delegateCall 함수 호출을 실행하는 것이었습니다. 이 트랜잭션은 UXLINK 계약에서 합법적인 관리자 역할을 제거하고 해커가 제어하는 ​​새로운 다중 서명 소유자를 추가했습니다.

Cyvers Alerts에 따르면, 해커들은 완전한 관리 권한을 획득한 후 즉시 UXLINK의 재무 지갑에서 자산을 이체하기 시작했습니다. 처음에 도난당한 자산에는 약 400만 달러 상당의 USDT, 50만 달러 상당의 USDC, 3.7 WBTC, 25 ETH가 포함되었습니다. 이를 통해 공격자들은 즉각적이고 확실한 수익을 확보할 수 있었습니다.

공격자는 가장 파괴적인 단계인 무단 토큰 발행에 돌입했습니다. 온체인 데이터에 따르면 공격자는 무려 10조 개의 새로운 UXLINK 토큰을 생성했습니다. 이 활동은 시장의 신뢰를 완전히 무너뜨렸습니다. UXLINK는 여러 주요 CEX와 소통하여 거래 중단을 요청하며 신속하게 대응했지만, 대량 발행으로 인해 온체인 가격이 폭락하여 소수점 여섯 자리까지 떨어졌다가 거의 0으로 돌아갔습니다. LUNA의 무제한 발행과 유사한 상황이 반복되었습니다.

9월 23일 기준, 온체인 가격에 따르면 UXLINK의 시장 가치는 약 80달러였습니다.

사실상 무제한의 UXLINK 토큰 공급을 확보한 공격자들은 주요 탈중앙화 거래소에서 체계적인 매각을 시작했습니다. 상황을 교묘하게 은폐하기 위해 최소 6개의 서로 다른 지갑을 사용하여 새로 발행된 UXLINK 토큰을 더 높은 가치의 자산으로 교환했습니다. 온체인 분석 회사인 Lookonchain은 공격자들이 이러한 매각을 통해 최소 6,732 ETH를 조달했다고 보고했으며, 이는 당시 약 2,810만 달러에 해당합니다. 그러나 소셜 미디어에서는 이러한 수익의 성격에 대한 의견이 엇갈리고 있으며, UXLINK를 포함한 여러 보안 회사는 1,130만 달러의 손실을 언급했습니다.

하지만 어떤 방법을 사용하든, 이번 커뮤니티의 손실은 더욱 심각합니다. 폭락 전 UXLINK의 시가총액은 약 1억 5천만 달러였습니다. 최저가를 기록한 후 중앙화 거래소에 표시된 시가총액은 1,600만 달러로 떨어졌고, 커뮤니티는 약 1억 달러의 시가총액을 잃었습니다.

이 과정에서 많은 사용자들이 해커들이 금고 자산을 훔친 후 멈출 것이라고 착각하여 저점 매수를 시도했습니다. 소셜 미디어에서는 많은 사용자들이 현물 매수나 롱 포지션 진입을 통해 반등을 노렸지만, 99%가 넘는 손실을 입었다고 공유했습니다. 90만 달러 이상을 투자한 가장 큰 단일 주소는 결국 99.8%의 손실을 기록했습니다.

스타 프로젝트가 가장 어두운 시기를 맞고 있습니다. UXLINK는 어디로 향할까요?

공격 전날, UXLINK 관계자들은 "뭔가 큰 일이 일어날 것"이라는 트윗을 올렸지만, 이는 예언으로 판명났습니다.

사건 발생 후 UXLINK 관계자는 여러 CEX 거래소에 연락하여 UXLINK 거래를 중단하고 토큰 스왑을 진행하겠다고 신속하게 대응했습니다. 그러나 계약 권한을 되찾을 수 없었기 때문에 해커들이 수조 개의 토큰을 발행하는 것을 막을 수 없었습니다. 이러한 심각한 타격은 UXLINK 커뮤니티의 신뢰와 생태계 발전에 심각한 문제를 야기할 것입니다.

공격 이전, UXLINK는 이 사이클에서 가장 인기 있는 프로젝트 중 하나였으며, 특히 한국 시장에서 그 영향력을 과소평가할 수 없었습니다. 소셜 네트워킹 플랫폼으로서 UXLINK는 고유한 "지인 기반 소셜 상호작용"과 그룹 구축 모델을 활용하여 대규모 사용자 기반을 빠르게 구축했습니다. 공개된 정보에 따르면, 이 프로젝트는 여러 유명 투자자들의 투자를 받아 900만 달러 이상의 자금을 조달했습니다.

UXLINK는 한국을 핵심 시장으로 삼고 현지화된 운영 및 마케팅에 많은 자원을 투자하여 많은 실사용자를 확보했습니다. 공식 자료에 따르면 UXLINK는 2024년에 등록 사용자 1천만 명 돌파라는 이정표를 달성했습니다.

UXLINK는 이후 한국 최대 규모의 규제 거래소인 업비트에 성공적으로 상장했으며, 국내 주요 거래소인 업비트와 빗썸에서 일평균 거래량 1위를 꾸준히 유지해 왔습니다. UXLINK는 또한 바이낸스에서 무기한 계약 상품을 성공적으로 출시하며 글로벌 영향력을 더욱 확대했습니다.

공격 이후 UXLINK 팀은 새로운 토큰 스왑 계획을 수립하고 스냅샷 등의 방법을 통해 피해를 입은 사용자에게 보상을 제공하겠다고 밝혔습니다. 그러나 앞으로의 길은 여전히 ​​험난합니다.

가장 큰 과제는 신뢰 회복과 거래소의 태도입니다. 업비트와 같이 규정을 준수하는 거래소의 경우, 토큰 이코노미 모델의 안정성과 보안은 거래 쌍을 상장하고 유지하는 데 있어 핵심 고려 사항입니다. 역사적으로 유사한 사건으로 인해 상장 폐지된 사례는 많습니다. 예를 들어, 펀디 AI(PUNDIX)는 해킹으로 인해 토큰 발행량이 비정상적으로 증가했습니다. 업비트를 비롯한 국내 규정을 준수하는 다른 거래소들은 결국 "시기적절하지 않은 정보 공개"를 이유로 해당 토큰의 거래 지원을 중단했습니다.

UXLINK는 현재 비슷한 상황에 직면해 있습니다. 새로운 토큰 제안이 업비트를 비롯한 다른 거래소들을 설득하여 취약점을 완전히 해결하고 건전한 경제 모델을 회복할 수 있다는 확신을 주지 못한다면, 상장 폐지 가능성이 매우 높습니다. 핵심 시장의 유동성이 확보되지 않은 상황에서 UXLINK의 재기는 더욱 어려워질 것입니다.

우연히도 SFUND의 경고와 업계의 반성

시장이 아직 UXLINK 사건의 여파를 소화하고 있던 9월 23일 저녁, Web3 프로젝트 인큐베이션 및 런칭 플랫폼인 Seedify.fund의 거버넌스 토큰인 SFUND가 도난당하면서 업계 전체에 다시 한번 경각심이 고조되었습니다.

SFUND의 공격 원리는 UXLINK와 정확히 동일합니다. 스펙터의 폭로에 따르면, SFUND 해커들은 Baseshang에 대한 권한을 획득한 후 추가 토큰을 발행했는데, 최대 발행량은 3zi(10의 24승)입니다.

이후 BSC 체인에서 100억 개의 토큰이 발행되어 120만 달러 상당의 ETH에 판매되었습니다. 이전 관련 정보에 따르면 이 해커는 전 북한 해커 조직인 세레니티 쉴드와 명확한 연관성이 있는 것으로 보입니다.

이번에 도난당한 금액은 비교적 적었지만, 시장 신뢰도에 미친 영향은 상당했습니다. 15분 만에 SFUND의 가격은 73% 폭락했고, 시가총액은 2,700만 달러에서 1,100만 달러로 급락했습니다. 이 시나리오는 UXLINK 공격과 매우 유사하지만, 이것이 우연의 일치인지 아니면 두 공격이 같은 해커 집단에 의해 자행되었는지는 불분명합니다.

두 사건에 대한 완전한 보안 보고서는 아직 공개되지 않았지만, 이를 통해 몇 가지 통찰력을 얻을 수 있습니다. 두 사건의 원인은 계약 권한 및 토큰 채굴 스위치 문제였습니다.

SFUND 설립자는 경고를 발표하면서 계약이 감사를 받았으며 3년 동안 유지되어 왔다는 점을 강조했습니다. 이는 감사가 만병통치약이 아니며, 정기적인 감사만으로는 심각한 논리적 취약점을 모두 발견할 수 없음을 보여줍니다. 지속적인 보안 감사와 코드 검토가 매우 중요합니다.

하지만 사용자는 계약과 그 운영 논리를 검토할 능력이 부족합니다. 함정을 피하는 것은 이제 심오한 학문이 되었습니다. 더 간단한 방법은 현물 코인을 비축할 때에도 필요한 손절매 주문을 설정하는 것입니다. 이렇게 하면 모든 돈을 날릴 수 있는 블랙스완 사건을 예방할 수 있습니다.

둘째, 이 두 사건 당시 많은 사용자들이 운 좋은 하락을 기대하며 하락장을 일찍 매수했다가 결국 큰 손실을 입었습니다. 이러한 행위는 마치 칼날 위에서 도박을 하는 것과 같으므로 바람직하지 않습니다.

더욱이, 이 프로젝트에서 제안하는 "스냅샷 코인 스왑" 방식은 일반적으로 공격 전 특정 시점의 모든 사용자 보유량을 기록한 후, 새로운 코인을 발행하고 사용자 수에 비례하여 코인을 상환하는 방식을 사용합니다. 이 방식은 사실상 최후의 수단이며, 손실의 완전한 회복을 보장하지 않습니다.

UXLINK에서 SFUND까지, 이틀 만에 우리는 마치 도미노가 쓰러지듯 코드 취약점이 프로젝트의 가치와 생태계를 순식간에 파괴할 수 있음을 목격했습니다. 이는 암호화폐라는 어두운 숲에서 보안은 항상 "1"이고, 브랜드, 커뮤니티, 시가총액은 그 뒤의 "0"임을 다시 한번 증명합니다. 보안 없이는 다른 모든 것은 무의미합니다. 프로젝트 소유자는 모든 코드 줄을 최대한 존중해야 합니다. 투자자는 높은 수익을 추구하는 동시에 의사 결정 과정에서 잠재적인 보안 위험을 우선시해야 합니다. 그렇지 않으면 다음 "0"이 바로 코앞에 닥칠 수 있습니다.