Arcadia 파이낸스가 운영하는 디파이(DeFi) 플랫폼이 블록체인 기반 Base 네트워크에서 약 250만 달러(약 34억 7,500만 원) 규모의 암호화폐 탈취 사고를 당했다. 사측은 플랫폼의 핵심 스마트 계약 중 하나인 'Rebalancer 컨트랙트'의 취약점을 악용한 공격이 발생했다고 밝혔다.
블록체인 보안사 사이버스(Cyvers)에 따르면, 이번 공격은 임의의 데이터 교환(swapData) 파라미터를 조작하는 방식으로 이뤄졌다. 이로 인해 허가되지 않은 거래가 이루어졌고, 사용자 금고에서 자산이 대규모로 유출됐다. 공격자는 탈취 직후 관련 토큰을 WETH(랩트 이더리움)로 교환한 뒤, 기존의 Base 체인에서 이더리움 메인넷으로 자금을 브릿지해서 이전했다.
사이버스는 12일 오후 1시 5분 58초(한국시간 기준) 경에 공격이 최초 발생했으며, 공격자는 악성 스마트 계약을 배포하고 단 1분 만에 탈취를 실행한 것으로 확인했다. 도난 자산은 그 즉시 여러 새로운 중간 주소들을 통해 이더리움 체인에 분산 저장됐으며, 이는 흔적을 흐리기 위한 시도이자 탈중앙화 거래소(DEX)나 믹싱 서비스를 활용한 세탁 가능성을 시사한다고 분석했다.
탈취된 자산은 약 230만 USDC(약 31억 9,700만 원)와 22만 7,000 USDS(약 3억 1,600만 원)로, 총 피해 규모는 약 250만 달러(약 34억 7,500만 원)다. 해당 과정에서 공격자는 199 WETH와 9억 6,580만 개의 AERO 토큰을 확보했으며, 피해는 총 12개의 이용자 지갑에 영향을 미쳤다.
사이버스는 이번 사건과 관련된 모든 주소를 Base 및 이더리움 메인넷에서 즉시 블랙리스트에 등록할 것을 권고했다. 또한 주요 거래소와 브릿지 서비스에 의심스러운 입출금을 차단할 것을 요청했고, 수사 당국에 관련 신고 자료를 공유했다고 밝혔다.
Arcadia 파이낸스 측은 같은 날 X(구 트위터)를 통해 공격 사실을 인정하며 “Rebalancer를 통한 무단 거래가 확인됐다. 자산 관리자에 대한 모든 권한을 해제해달라”고 공지했다. 이어 이용자들에게 플랫폼 내 ‘리밸런서’ 기능에 부여한 모든 권한을 철회할 것을 당부했다.
이번 사건은 디파이 플랫폼에서 스마트 계약 보안의 중요성을 다시 한 번 환기시켰다. 보안 전문가들은 제3자 코드 감사와 리스크 대비 체계를 강화하지 않으면 이 같은 대형 사건은 반복될 수밖에 없다고 경고했다.