디파이 및 실물자산 토큰화 플랫폼 모비우스(MobiusDAO)가 스마트 계약 취약점을 악용한 공격에 노출돼 215만 달러 상당의 토큰을 도난당했다. 이와 함께 하드월렛 업체 레저(Ledger)의 소셜 계정도 피싱 공격에 당하며 보안 우려가 확산되고 있다.
12일(현지시간) 크립토포테이토에 따르면, 블록체인 보안업체 사이버스(Cyvers)는 지난 11일 바이낸스 스마트체인(BNB 체인)에서 악의적 스마트 계약이 배포되었고, 곧이어 모비우스 토큰(MBU)을 겨냥한 연속적인 공격이 발생했다고 밝혔다. 공격자는 단 0.001개의 래핑된 BNB(약 0.65달러)를 예치한 후 9,700조 개 이상의 BEP-20 MBU 토큰을 발행해 이를 스테이블코인으로 교환하고 토네이도캐시(Tornado Cash)로 자금을 이동시켰다.
해킹 직후 MBU는 DEXscreener 기준으로 사실상 ‘제로(0)’까지 폭락했으며, 플랫폼의 공식 X 계정은 현재까지도 사건에 대한 언급을 하지 않고 있다. 보안업체 서티크(CertiK)도 본 공격이 “무단 토큰 발행과 스왑 기반의 정교한 해킹”이었다고 분석했다.
이와 동시에, 프랑스의 하드월렛 제조사 레저(Ledger)는 또 한 차례 해킹 피해를 입었다. 이번 사건에서는 레저 디스코드 채널의 외부 계약 모더레이터 계정이 탈취되어 피싱 링크가 게시되었으며, 사용자들에게 “보안 취약점 확인”을 명목으로 시드 문구 입력을 유도하는 사기 메시지가 퍼졌다. 레저 측은 즉각 계정 통제를 되찾고 악성 링크를 제거했다고 밝혔지만, 사용자들의 피해 여부는 아직 파악되지 않았다.
전 바이낸스 CEO 창펑 자오(Changpeng Zhao)는 이번 사태와 관련해 "암호화폐 기업의 소셜 네트워크 계정은 가장 약한 고리"라고 지적했다. 실제로 레저는 지난 2020년 데이터 유출 사고 이후 27만 명 이상의 고객 정보와 주소가 노출됐고, 이후 피싱 편지 사기 등 지속적인 위협에 노출돼 있다.
최근 이더리움의 업그레이드 '펙트라(Pectra)' 이후, 오프체인 서명만으로 지갑에서 자산이 유출될 수 있는 새로운 취약점이 제기되며, 업계 전반에 걸쳐 스마트 계약과 개인 보안에 대한 우려가 다시 부상하고 있다.