이더리움(Ethereum)의 최신 네트워크 업그레이드인 '펙트라(Pectra)'가 지난 5월 7일 에포크 364032에서 정식 적용된 가운데, 스마트 계정 기능과 확장성 향상이라는 기대와는 달리 심각한 보안 취약점이 드러났다. 새로운 기능 중 하나인 'SetCode 트랜잭션'을 악용하면 해커가 단순한 오프체인 서명만으로 외부 소유 계정(EOA)에서 자금을 탈취할 수 있다는 우려가 제기됐다.
이번에 도입된 핵심 제안인 EIP-7702는 사용자가 온체인 트랜잭션을 직접 서명하지 않아도 지갑의 제어권을 외부 계약에 위임할 수 있는 구조를 제공한다. 해커가 피싱 사이트 등을 통해 서명을 확보하기만 하면, 사용자의 지갑 코드를 악성 코드로 덮어쓰고 자금을 탈취하는 것이 가능해지는 셈이다.
솔리디티(Solidity) 스마트 계약 감사를 전문으로 하는 아르다 우스만(Arda Usman)은 "공격자가 사용자로부터 오프체인 메시지만 획득해도 자산을 인출할 수 있다"고 확인했다. 이로 인해 다수 사용자의 이더(ETH)나 토큰이 별도의 트랜잭션 서명 없이도 외부로 빠져나갈 수 있다는 경고다.
리스크의 중심은 0x04 유형의 트랜잭션으로, 이는 사용자 지갑의 코드 자체를 변경할 수 있는 권한을 부여한다. 업계 전문가들은 이 기능이 유용한 사용성을 제공하는 동시에, 공격자에게 치명적인 도구로 작용할 수 있다고 지적한다. 한 번 코드가 덮어쓰기 되면, 공격자가 마음대로 자산을 이전할 수 있는 길이 열리기 때문이다.
이번 논란은 스마트 계정을 통한 사용자 편의성 개선이라는 목적이 역설적으로 보안의 기초를 뒤흔들 수 있다는 점에서 업계의 경각심을 불러일으키고 있다. 이더리움 재단과 개발 커뮤니티는 이를 보완하기 위한 별도의 보안 가이드라인을 신속히 마련해야 한다는 압력이 커지고 있다.