폴리마켓, UMA 어댑터 취약점에 뚫렸다…60만 달러 피해

블록체인 예측 시장 플랫폼 폴리마켓이 스마트컨트랙트 취약점을 노린 공격으로 약 60만 달러(약 9억200만 원) 규모의 자산을 탈취당했다. 핵심 원인은 ‘UMA CTF 어댑터’라는 통합 레이어의 보안 공백으로 지목된다.

온체인 분석가 잭엑스비티(ZachXBT)에 따르면 공격자는 폴리곤(MATIC) 네트워크에서 실행된 해당 어댑터 계약을 악용했으며, 공격 지갑 주소는 ‘0x8F98075db5d6C620e8D420A8c516E2F2059d9B91’로 확인됐다. 그는 텔레그램을 통해 긴급 경고를 발령했고, 이어 데이터 분석 업체 버블맵스(Bubblemaps)도 폴리마켓 사용 중단을 권고했다.

이번에 악용된 ‘UMA CTF 어댑터’는 폴리마켓이 예측 결과를 정산하기 위해 UMA의 옵티미스틱 오라클을 연동한 커스텀 스마트컨트랙트다. 하지만 이는 UMA의 공식 감사 대상이 아닌 별도 통합 코드로, 프로젝트 자체 로직과 권한 구조를 포함한다. 즉, 기본 프로토콜이 아닌 ‘연결 부위’에서 보안 취약점이 발생한 셈이다.

이 같은 구조적 문제는 디파이(DeFi) 업계에서 반복적으로 나타나는 패턴이다. 폴리마켓 역시 2021~2022년 체인시큐리티(ChainSecurity)의 감사를 통해 핵심 거래 계약의 보안을 점검받았지만, 해당 어댑터는 감사 범위에 포함되지 않았다. 결국 감사 사각지대가 공격 표면으로 작용했다.

폴리마켓은 과거에도 오라클 관련 리스크를 겪은 바 있다. 이른바 ‘파리 사건’에서는 외부 데이터 오류로 인해 시장 정산에 문제가 발생했다. 이는 예측시장 구조상 오라클과 어댑터 설계가 ‘시스템 전체의 약점’이 될 수 있음을 시사한다.

온체인 데이터에 따르면 공격자는 약 30초 간격으로 5,000 폴리곤(MATIC) 토큰을 반복적으로 인출했다. 자동화된 스크립트를 활용한 것으로 보이며, 전체 피해 규모는 약 52만~60만 달러로 추산된다. 탈취된 자금은 이후 15개의 별도 지갑으로 분산 이동했으며, 이는 추적을 어렵게 만드는 전형적인 초기 세탁 방식으로 분석된다.

현재까지 해당 자금은 믹서나 다른 체인으로 이동하지 않은 상태지만, 다중 지갑 분산으로 인해 회수 가능성은 제한적이다. 다만 초기 지갑이 공개된 만큼, 거래소 협조 여부가 향후 자금 추적의 핵심 변수로 작용할 전망이다.

이번 사건은 ‘프로토콜 자체’보다 ‘통합 레이어’의 보안이 더 취약할 수 있음을 다시 한번 드러냈다. 디파이 플랫폼이 확장될수록 이러한 연결 지점의 리스크 관리가 중요해지고 있다는 점에서, 업계 전반의 보안 점검 강화가 요구된다.

---

기사요약 by TokenPost.ai
🔎 시장 해석
이번 해킹은 폴리마켓 자체보다 UMA 오라클과 연결된 ‘통합 레이어’에서 발생한 취약점이 원인이었다. 이는 디파이에서 프로토콜 핵심보다 연결 구조가 더 큰 보안 리스크가 될 수 있음을 보여준다.

💡 전략 포인트
사용자는 단순히 감사 여부만 확인할 것이 아니라, 감사 범위에 포함되지 않은 연결 계약이나 어댑터 구조까지 점검해야 한다.
프로젝트 측은 확장 기능 추가 시 통합 레이어에 대한 별도 보안 감사 및 실시간 모니터링 체계를 강화할 필요가 있다.
자금 이동 패턴(지갑 분산, 자동화 출금 등)은 초기 대응 속도를 좌우하므로 온체인 감시가 중요하다.

📘 용어정리
오라클: 블록체인 외부 데이터를 온체인으로 가져오는 시스템
어댑터(Adapter): 서로 다른 프로토콜을 연결해주는 중간 계약(브릿지 역할)
옵티미스틱 오라클: 분쟁이 없으면 데이터를 자동으로 승인하는 구조의 오라클 방식
온체인 분석: 블록체인 거래 데이터를 분석해 자금 흐름을 추적하는 기법

💡 자주 묻는 질문 (FAQ)

Q. 이번 사건의 핵심 원인은 무엇인가요? 이번 해킹은 폴리마켓 자체가 아니라 UMA 오라클과 연결된 ‘CTF 어댑터’라는 통합 레이어의 취약점에서 발생했습니다. 즉, 핵심 프로토콜이 아닌 연결 구조의 보안 공백이 문제였습니다. Q. 왜 자금 회수가 어려운가요? 공격자는 탈취한 자금을 여러 지갑으로 빠르게 분산시켰습니다. 이러한 방식은 블록체인 추적을 복잡하게 만들어 회수 가능성을 낮추는 전형적인 자금 세탁 초기 단계입니다. Q. 디파이 사용자가 이번 사건에서 배워야 할 점은 무엇인가요? 디파이에서는 프로토콜 자체뿐 아니라, 오라클·브릿지·어댑터 같은 연결 요소의 보안도 매우 중요합니다. 감사 여부를 확인할 때도 전체 구조가 포함됐는지 반드시 확인해야 합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.