Safe 연동 서드파티 모듈 악용…이더리움·베이스서 320만달러 탈취

이더리움과 베이스(Base) 네트워크에서 ‘Safe’ 지갑에 연결된 서드파티 모듈이 악용되며 약 320만달러가 빠져나갔다. 외형상 안전한 멀티시그 지갑이었지만, 허가된 실행 권한이 넓게 설정된 모듈이 공격 통로가 됐다는 점에서 크립토 보안 경고음이 커지고 있다.

13일 코인텔레그래프에 따르면 블록체인 보안업체 블록에이드(Blockaid)는 이번 사고가 ‘SquidRouterModule’로 표시된 계약과 관련돼 있다고 밝혔다. 초반에는 크로스체인 프로토콜 ‘스퀴드’와의 연관성이 제기됐지만, 스퀴드는 X를 통해 “핵심 프로토콜과는 무관하며, 서드파티 모듈이 악용된 것”이라고 선을 그었다. 같은 이름을 쓰지만 코드와는 무관하다는 설명이다.

Safe, 옛 Gnosis Safe는 여러 사용자가 승인을 거쳐야 거래가 실행되는 멀티시그 지갑이다. 다만 선택형 모듈을 추가하면 승인된 코드가 지갑을 대신해 행동할 수 있어, 권한 설정이 느슨할 경우 사고 범위가 크게 넓어진다. 블록에이드는 이번 공격으로 약 2시간 동안 최소 86개의 Safe 계정이 영향을 받았고, 탈취된 토큰은 공격자가 통제한 유니스왑 V3 풀을 통해 모두 다이(DAI)로 교환됐다고 전했다.

블록에이드는 취약점의 원인으로 ‘SquidRouterModule’의 결함을 지목하며, 공격자가 승인된 대리인처럼 위장해 허가 없는 토큰 스왑을 실행했을 가능성이 있다고 봤다. 라훌 루말라 Safe 랩스 최고경영자(CEO)는 해당 계정들이 공식 Safe Wallet 제품으로 운영된 것으로 보이지 않는다며, 외부에서 배포된 연동 방식으로 생성·관리됐을 가능성을 언급했다. 그는 또 ‘Safe Shield’가 악성 또는 검증되지 않은 모듈과 가드를 사전에 경고하도록 설계돼 있으며, 문제의 모듈은 이미 블록에이드의 위험 탐지 목록에 올라 있었다고 설명했다.

이번 사건은 디파이(DeFi)와 지갑 인프라에서 ‘신뢰된 모듈’이 오히려 가장 큰 약점이 될 수 있음을 보여준다. 멀티시그 자체보다도 외부 연동과 권한 관리가 허술할 때 피해가 커질 수 있는 만큼, 지갑 보안은 단순 서명 수보다 구성요소 검증으로 무게중심이 옮겨가고 있다.

---

기사요약 by TokenPost.ai
🔎 시장 해석
이번 사건은 멀티시그 지갑 자체보다는 ‘신뢰된 모듈’이 새로운 공격 표면이 되고 있음을 보여준다. 디파이 인프라는 점점 복잡해지고 있으며, 외부 모듈·연동 서비스 리스크가 실질적인 보안 취약점으로 부상하고 있다.

💡 전략 포인트
지갑 보안은 단순히 서명 수를 늘리는 것만으로 충분하지 않다.
검증되지 않은 모듈 설치를 지양해야 한다.
권한 범위가 넓은 스마트컨트랙트 승인 상태를 주기적으로 점검해야 한다.
보안 경고 시스템(Safe Shield 등)을 적극 활용하는 것이 중요하다.

📘 용어정리
멀티시그 지갑: 여러 명의 서명이 있어야 거래가 실행되는 지갑
모듈(Module): 지갑 기능을 확장하는 추가 프로그램, 특정 권한을 위임받아 실행 가능
Uniswap V3: 탈중앙화 거래소로, 유동성 풀을 통해 토큰 교환 지원
DAI: 달러 가치에 연동된 스테이블코인

💡 자주 묻는 질문 (FAQ)

Q. 이번 해킹은 Safe 지갑 자체의 문제인가요? 이번 사고는 Safe 지갑 자체가 해킹된 것이 아니라, 지갑에 연결된 외부 모듈(SquidRouterModule)이 악용된 사례입니다. 즉, 지갑이 아니라 추가된 기능이 공격 경로가 된 것입니다. Q. 왜 모듈이 더 위험할 수 있나요? 모듈은 사용자를 대신해 거래를 실행할 수 있는 권한을 가지기 때문에, 권한 설정이 과도하거나 보안 검증이 부족하면 공격자가 이를 악용해 승인 없이 자산을 이동시킬 수 있습니다. Q. 사용자가 지금 당장 할 수 있는 보안 대책은 무엇인가요? 사용자는 지갑에 연결된 모듈과 승인(Allowance)을 점검하고, 출처가 불분명한 모듈은 제거하는 것이 좋습니다. 또한 보안 경고 기능을 활성화하고, 의심스러운 거래 요청은 서명하지 않는 습관이 중요합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.