GMX 해킹 범인, 490억 원 상당 ETH로 세탁…재진입 공격으로 584억 원 탈취

분산형 파생 거래 플랫폼 GMX에서 발생한 초대형 해킹 사건의 배후자가 총 4,200만 달러(약 584억 원) 상당의 탈취 자산 중 대부분을 이더리움(ETH)으로 전환한 사실이 온체인 데이터를 통해 밝혀졌다. 블록체인 분석 플랫폼 룩온체인(Lookonchain)은 공격자가 현재까지 1만 1,700 ETH(약 491억 원)를 확보했으며, 이를 4개의 신규 지갑으로 분산 이체했다고 전했다.

이번 공격은 지난 7월 9일 GMX V1의 핵심 유동성 풀인 GLP(GMX Liquidity Provider)를 겨냥해 발생했다. 공격자는 GMX의 자산 가격 계산 방식의 취약점을 이용한 '재진입 공격(re-entrancy attack)'을 활용해 토큰 가격을 조작했고, 이를 통해 대규모 자산을 유출하는 데 성공했다. 피해 목록에는 레거시 프랙스달러(FRAX) 1,000만 달러(약 139억 원), 래핑된 비트코인(wBTC) 960만 달러(약 133억 원), DAI 스테이블코인 약 500만 달러(약 70억 원) 등이 포함됐다.

GMX는 사건 직후 아비트럼(Arbitrum) 기반의 GMX V1 플랫폼에서 GLP 토큰 발행 및 상환을 중단했다. 이번 피해는 GMX V2와 GMX 토큰 자체에는 영향을 미치지 않았다고 프로젝트팀은 강조했다. 현재 GMX는 유저들에게 레버리지 비활성화 및 설정 변경을 요청해 보안을 강화하고 있다.

블록체인 보안 기업 슬로우미스트(SlowMist)는 이번 사고의 원인이 GMX V1 설계상 결함에 있다고 분석했다. 스마트 계약 내 보유 자산 계산 방식에 접근해 공격자가 단일 거래로 대규모 숏 포지션을 열어 GLP 가격 지표를 왜곡시킨 것이 핵심 공격 방식이었다. 슬로우미스트는 “스마트 계약이 잔액을 잘못 계산하게끔 만든 정교한 함수 호출이 이뤄졌다”고 설명했다.

GMX는 해커에게 420만 달러(약 58억 원) 규모의 백색 해커 보상금을 제안하며 남은 자산의 90%를 48시간 내 반환하면 법적 조치를 취하지 않겠다고 밝혔다. 하지만, 현재까지 해커는 어떠한 응답도 하지 않은 상태다.

이번 사건은 2025년 2분기 블록체인 산업의 보안 위협이 얼마나 심각한 수준인지 단적으로 보여준다. 보안업체 CertiK에 따르면, 해당 분기 동안 발생한 144건의 해킹 및 사기로 총 8억 130만 달러(약 1조 1,133억 원)가 증발했으며, 이 중 피싱 공격으로만 3억 9,500만 달러(약 5,495억 원)가 도난당했다. 코드 취약점으로 인한 피해도 2억 3,580만 달러(약 3,287억 원)에 달했다.

이번 해킹은 탈중앙 금융(DeFi) 시스템의 보안 강화 필요성을 다시 한 번 부각시켰다는 점에서 업계 전반에 중요한 경고로 작용하고 있다.