코인베이스 $30만 달러 탈취 피해…스마트컨트랙트 승인 실수 원인

미국 최대 암호화폐 거래소 코인베이스($COIN)가 스마트컨트랙트 승인 실수로 인해 약 30만 달러(약 4억 1,700만 원) 상당의 토큰 수수료를 탈취당한 것으로 드러났다. 이번 사고는 퍼미션리스(Permissionless) 방식으로 설계된 0x 프로젝트의 스왑퍼(Swapper) 계약을 잘못 다룬 것이 원인이며, MEV(최대 추출 가치) 봇이 해당 취약점을 노려 자금을 빼냈다.

보안 분석 기업 벤 네트워크의 연구원 디비즈(Deebeez)는 3일(현지시간) X에 관련 내용을 공개하며 사건의 전말을 밝혔다. 디비즈에 따르면 코인베이스는 기업용 지갑을 통해 0x 프로젝트 스마트컨트랙트에 자산 승인 권한을 부여했다. 이 스왑퍼는 본래 토큰 교환을 위한 도구로 설계됐지만, 일반적인 승인 기능은 전혀 고려되지 않은 상태였다.

퍼미션리스 방식의 스왑퍼는 누구든지 호출이 가능해, 토큰 승인 기능이 적용될 경우 곧바로 악의적인 행위자에게 노출될 수 있다. 디비즈는 “해당 스왑퍼는 과거에도 베이스(Base) 체인에서 조라(Zora) 토큰 클레임과 관련한 사고가 있었다”며 “이번에도 유사한 형태의 무단 자금 이전이 발생했다”고 설명했다.

공개된 스크린샷에 따르면 코인베이스는 Amp, MyOneProtocol, DEXTools, Swell Network 등 여러 토큰에 대해 수수료 수령 계정에서 승인을 진행했고, 이후 MEV 봇이 이 권한을 활용해 스왑퍼 계약을 호출, 즉시 자금을 다른 주소로 전송해 탈취를 마쳤다.

이 같은 실수는 스마트컨트랙트 보안의 기본 원칙을 간과한 것으로 평가받고 있다. 누군가가 임의로 호출 가능한 컨트랙트에 승인 권한을 주는 것은, 사실상 암호화폐를 넘겨주는 것과 다를 바 없다. 전문가들은 코인베이스 같은 기관이 이런 초보적 실수를 범한 점에 대해 우려를 나타내며, 스마트컨트랙트 상호작용에 대한 더 강력한 검증 절차의 도입이 필요하다고 지적했다.