IoTeX(IOTX) 생태계의 브리징 인프라를 겨냥한 보안 침해로 800만 달러 상당의 암호화폐가 도난당한 것으로 알려졌습니다. 초기 조사 결과, 이 공격은 스마트 계약 오류가 아닌 단일 개인 키 유출에서 비롯된 것으로 보입니다.
온체인 데이터에 따르면 공격자는 탈취한 자산을 신속하게 이더리움(ETH)으로 변환한 후 토르체인(THORChain)을 통해 비트코인 네트워크로 자금을 이체하기 시작했습니다. 이는 추적을 더욱 어렵게 하려는 의도로 해석됩니다.
이번 사건의 핵심은 “TransferValidatorWithPayload” 컨트랙트를 소유한 외부 소유 계정(EOA) 주소의 보안이 침해된 것입니다. 공격자는 이 개인 키를 획득하여 TokenSafe 및 MinterPool 컨트랙트의 소유권을 변경할 수 있었습니다. 이를 통해 공격자는 시스템에 대한 특권 접근 권한을 얻고 자금을 탈취할 수 있었습니다.
전문가들에 따르면, 여기에는 스마트 계약 취약점이나 복잡한 악용 메커니즘이 존재하지 않습니다. 계약 내의 단순한 mint() 함수가 토큰 계약의 transfer() 함수를 호출하는 역할을 했을 뿐입니다. 그러나 소유권이 확보된 후, 이 함수가 악용되어 모든 자산이 인출되었습니다.
온체인 분석에 따르면 이번 공격으로 탈취된 자산은 다음과 같습니다.
- 2,835 UNI
- 458억 2500만 달러
- 1385만 IOTX
- 8.71 PAXG
- 20.158 다이
- 6.11 WBTC
- 635 웨스
- 136만 달러
- 114만 USDT
또한 공격자는 MinterPool을 통해 약 4백만 달러 상당의 CIOTX 토큰을 발행했습니다. 분석가들은 이번 사건이 단순한 “계약 위반”이 아니라 소유권 측면에서의 직접적인 신뢰 위반이며, 단 하나의 키 유출이 연쇄 반응을 일으켰다고 지적합니다.
해당 사건이 소셜 미디어에 확산되자 IoTeX 팀은 공식 성명을 발표했습니다. 성명에 따르면 보안 침해는 신속하게 처리되었으며 상황은 통제되었습니다. 초기 평가 결과 잠재적 손실액은 온라인에 유포된 수치보다 적은 것으로 나타났습니다.
해당 팀은 또한 여러 주요 암호화폐 거래소와 협력하여 공격자의 자산을 추적하고 동결하기 위해 노력하고 있다고 발표했습니다. 향후 업데이트는 공식 채널을 통해 공유될 예정이며, 사용자들은 검증된 정보만을 신뢰해야 한다고 강조했습니다.
*본 내용은 투자 조언이 아닙니다.