커뮤니티

무슨 일이 일어난지 함께 알아보자.

1. 사건 발생 순서

1) 초기 위험 신호: 공격은 2025년 9월 23일 새벽, 사이버스(Cyvers)와 같은 온체인 보안 모니터링 플랫폼에 의해 처음 포착하였고 , 약1,130만 달러 규모의 의심스러운 거래를 확인함.

2) 공격자의 첫 움직임: 사이버스의 경고에 따르면, 특정 이더리움 주소가 delegateCall을 실행하여 다중 서명 지갑에서 기존 관리자 역할을 제거하고 공격자가 통제하는 새로운 소유자를 추가함. 즉, '이 차는 이제 제 차입니다'가 유엑스링크에서 발생함.

- delegateCall : 이더리움의 스마트 컨트랙에서 사용하는 함수로, 상대방의 코드를 내 환경에서 사용하는 방식. 더 쉽게 설명하면, a랑 b가 같이 술을 마시는데, a가 b의 술잔에 약을 탐. 근데, 하필 a(강하늘)는 야당이였고, b가 약에 취한채로 포장되서 a의 형사 형량 감소(이득)에 사용된게 이번 유엑스링크 사건이다.

- 익스플로잇 : 보안상 허점 공격. 더 쉽게는 해킹 공격.

3) UXLINK의 공식 인정: 최초 익스플로잇이 발생한 지 수 시간 후, 유엑스링크 팀은 공식 X(구 트위터) 계정을 통해 내부 지갑이 침해되었으며 상당량의 암호화폐가 불법적으로 전송되었음을 공식적 발표.

4) 사태 악화 - 무단 발행: 이후 유엑스링크 팀은 공격자가 무단으로 UXLINK 토큰을 계속해서 발행하고 있다는 긴급 경고를 발표하며, 커뮤니티에 탈중앙화 거래소(DEX)에서의 모든 거래를 중단할 것을 권고함.  

2. 익스플로잇의 화살촉 : delegateCall을 통한 다중 서명 지갑 탈취

delegateCall의 이해: 솔리디티(Solidity)의 delegateCall 옵코드는 강력하지만 위험하기로 악명 높은 함수로, 2017년 패리티 월렛 해킹 사건과 똑같은 방법에 당함. -이 함수는 한 컨트랙트(프록시)가 다른 컨트랙트(라이브러리 또는 구현체)의 코드를 자신의 스토리지 컨텍스트 내에서 실행하도록 허용한다. 이는 라이브러리 컨트랙트가 프록시의 상태 변수를 직접 수정할 수 있음.  - 약쟁이가 본인 형량 낮추기 위해(이득) 다른 약쟁이를 중독시킨 상황.

취약점: 유엑스링크의 다중 서명 지갑 컨트랙트(멀티 시그)에는 공격자가 통제하는 컨트랙트나 라이브러리 컨트랙트 내의 보호되지 않은 관리 기능을 대상으로 임의의 delegateCall을 실행할 수 있는 결함이 있었고, 이를 통해 공격자는 remove admin role 및 addOwnerWithThreshold와 같은 특권적인 작업을 실행하여 사실상 지갑의 통제권을 장악함. 

피싱 가능성: 또 다른 가설은 초기 접근이 '인페르노 드레이너(Inferno Drainer)' 유형의 피싱 공격을 통해 이루어졌을 수 있다는 것이다. 이 경우, 합법적인 소유자가 악의적인 승인에 서명하도록 유도되어 공격자에게 delegateCall을 실행하는 데 필요한 권한을 부여했을 가능성도 존재함.

즉, delegateCall 함수로 당한 건 맞는데, 이게 술잔에 탄 약을 마셨는지(멀티시그), 건강음료인줄 알고 마셨는지(피싱)에 대한 확인은 조금 시간이 필요하다.

3. 온체인 포렌식: 탈취 자산 추적

초기 자산 탈취: 공격자는 통제권을 장악한 지갑에서 약 400만 USDT, 50만 USDC, 3.7 WBTC, 25 ETH 등 다양한 자산을 인출했다. 이 초기 탈취액은 당시 가치로 약 1,130만 달러(한화 약 150억 원)이며, 털린 지갑 주소는 0xde153534428aae1269adc1459ebbe78ba0ea92a2로 확인.

자금 세탁 및 현금화: 룩온체인(Lookonchain)과 같은 온체인 분석 업체들은 공격자가 최소 6개의 다른 지갑을 사용하여 다양한 탈중앙화 거래소에서 탈취한 UXLINK 토큰을 체계적으로 매도하는 것을 추적하였고, 공격자는 불법 수익을 당시 가치로 약 2,810만 달러(한화 약 380억 원)에 해당하는 6,732 ETH로 세탁함.

초기 탈취액 1,130만 달러와 최종 수익 2,810만 달러 사이의 차이는 공격자가 새로 발행한 토큰까지 대량으로 매도하여 발생한 것으로 분석  

4. 2차 공격: 무단 "무한 발행" 익스플로잇

이번 익스플로잇의 가장 뼈아픈 지점인데, 무슨 방법이던 약을 먹었고, 이걸로 뽕쟁이가 되어 버렸다...

즉, 이전 delegateCall 취약점으로 공격자는 유엑스 링크를 무한 발행해버렸다. (약 10 - 20 억개 신규 발행)

대규모 공급량 인플레이션: 공격자는 10억에서 20억 개에 달하는 새로운 UXLINK 토큰을 발행했다. 당시 총 유통량이 약 4억 8,000만 개에 불과했던 점을 감안하면 이는 재앙적인 조치였다. 공격자는 단 몇 시간 만에 전체 토큰 공급량을 두세 배로 늘어남.

이러한 대규모 발행 이후에 이를 시장에 풀어버리는 방법을 통해서 가격 붕괴를 유도하였어. 이 가격 붕괴를 유도한 가장 큰 이유는 기존 홀더들의 패닉을 유도하여 거래량을 뻥튀기 하기 위함이지. 왜냐면, 거래량이 낮으면, 이런 대규모 물량을 빠르게 현금화 할 수 없거든. 슬리피지(slippage)가 발생할 우려가 있어, 내가 업비트에서 호가창 변경된게 불장 피날레에선 가격 상승 동인이 될 수 잇다고 했는데, 이번 해킹에선 빠른 현금화를 위해서 역이용된거지. 슬리피지는 쉽게 말해서, 내가 팔거나 사고 싶은 가격과 동떨어진 가격에 거래가 체결된걸 의미해.

예를 들어서, 나는 천원에 팔고 싶은데, 천 백원 다음 매수자가 900원대에 몰려서, 거의 대부분 900원에 팔게 되는거지.

이런 패닉 물량을 유도해서 거래량을 단기간에 17배 가량 뻥튀기 시키는데 성공했고, 가격이 폭락은 했지만, 대부분 바로바로 현금화 시키고 추적을 어렵게 만들려는 의도로 보여.

5. 이후 시장 영향

뭐, 잘 알겟지만, 시장에선 유엑스 링크가 말 그대로 똥값이 되어버렸어. 해킹 소식 이후로 바로 70 %대 급락을 했고, 이후 0.1 달러 미만으로 쭈욱 빠졌지. 한국은 그나마 0.1달러대를 지켜주며, 약 200원대에서 거래가 되고 잇지만, 몇몇 해외 거래소에서는 0.03달러 수준에서 거래가 되고 잇는 상황이야.

지금 현재 CEX에서는 입출금이 제한되어 있는 상황이지만, 이미 해킹범들은 슬리피지로 인한 유동성 문제 없이 시장을 빠르게 빠져나갈을 것으로 보여.

지금 상황에선 토큰 스왑을 통해 공격자가 무단 발행한 토큰을 무력화시키려고 할거지만, 이게 어떻게 풀리지는 아직 더 지켜봐야된다. 무작정 희망을 갖고 존버하는 것이 방법이 아닐수도 잇지만, 그렇다고 희망을 모두 버리고 자포자기하기에는 조금 이르다...

이와 해킹 당한 코인들 사례를 찾아 봤어.

1) 폴리네트워크 : 해커와 쇼부

해커가 장난으로 해킹했다고 밝히고 피해액 대부분을 돌려줬어, 왜? 50만 달러 상금과 특채를 제안했거든...

2) 로닌 네트워크 : 재단이 보상

개발사가 해킹 피해를 입은 피해자들에게 직접 보상

3) 이더리움 - 하드포크 이더리움과 이더리움 클래식

해킹당한 이후 이더리움을 롤백하자 롤백은 안된다는 마치 예송논쟁이 발생해서, 롤백을 실행한 코인이 지금의 이더리움이고, 거래는 거래다 라고 울부짖은 코인이 이더리움 클래식이 되었다. 왜 이렇게 나눠졌냐고? 절대 다수가 롤백을 지지해서, 롤백한 코인이 이더리움 본가가 됬어.

아무튼, 이런 해킹 사건은 왕왕 발생해왔고, 이로 인해서, 제발 특정 코인에 몰빵을 하지 말라고 신신당부를 하는거야... 핫게간 글을 몇개 보니깐 이미 몰빵으로 큰 돈을 날린 형들이 있는거 같은데, 이게 남이야기가 아니다. 아무튼, 이번 해킹 사건으로 피해를 본 형들에겐 다시금 심심한 위로를 전하고, 긍정적인 방향으로 해결되길 바래.

---- 본 글은 AI로 데이터를 취합, 정리하는 과정에서 일부 수치가 실제와 다를 수 있음.