UXLINK, 최근 발생한 해킹 사고로 약 1,570억 원 상당의 피해를 입었다. 이 공격은 멀티시그(Multi-sig) 지갑의 취약점을 노려 관리 권한을 탈취한 방식으로, 해커는 단 한 번의 'delegateCall'에 의해 프로젝트의 자금을 유출시키는 데 성공했다. 이후 해커는 주요 자산을 전송한 뒤 빠르게 여러 스왑과 브릿지를 통해 자금을 달리 세탁했다.
블록체인 보안업체 Cyvers는 이 사건을 처음 감지하고 위험 거래를 분석했다. 탈취된 자산은 테더(USDT) 4백만 달러(약 55억 6,000만 원), USD코인(USDC) 50만 달러(약 6억 9,500만 원), 3.7개의 래핑 비트코인(WBTC), 그리고 25 ETH로 구성되어 있었다. 이 토큰 중 USDT와 USDC 등은 다이(DAI)로 변환됐고, 일부는 이더리움(ETH)으로 전환돼 다시 아비트럼으로 송금됐다.
이후 별도 주소에서 약 3백만 달러(약 41억 7,000만 원)어치의 UXLINK 토큰이 수령됐고, 이 중 상당량이 이미 시장에 유통된 것으로 파악됐다. 이에 따라 프로젝트 측은 공식 채널을 통해 다중서명 지갑에서의 보안 결함을 확인했으며, 외부 보안 전문가 및 법적 대응 기관과 협력해 사태의 확산을 막고 있다고 밝혔다. 주요 거래소들과도 협력해 의심 계정을 동결하는 조치가 진행되고 있다.
하지만 대응에도 불구하고 해커는 추가로 UXLINK 토큰을 발행하기 시작했다. 보안 플랫폼 PeckShield에 따르면 아비트럼 네트워크 상에서 약 10억~20억 개에 달하는 신규 토큰이 생성됐으며, 이 중 4억 9,000만 개는 이미 CEX와 DEX에 유입돼 매도됐다. 그 결과, UXLINK 가격은 0.30달러에서 0.09달러로 70% 이상 폭락했고, 이는 약 977억 원 규모의 시가총액 손실로 이어졌다.
특히 업비트는 약 500만~700만 달러(약 69억 5,000만 원~97억 3,000만 원)에 해당하는 자산을 동결한 것으로 알려졌지만, 해커가 ETH로 전환한 전체 자산 중 약 6,732 ETH, 원화 기준 약 391억 원 상당은 여전히 해커의 주소에 남아 있다. 아이러니하게도 이후 해킹 집단은 '인페르노 드레이너(Inferno Drainer)' 사기 팀에 의해 다시 공격을 받아, 탈취한 UXLINK 토큰 중 약 5억 4,200만 개를 도난당하는 상황도 벌어졌다.
UXLINK 측은 토큰 생태계를 복원하고 피해자를 보상하기 위해 토큰 스왑 계획을 발표했으며, 구체적인 진행 절차는 추후 공식 채널을 통해 공유될 예정이다. 이번 사건은 멀티시그 지갑 보안의 중요성을 다시금 상기시키는 계기가 되고 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>