타이코, 브릿지 증명 위조에 170만 달러 손실…블록 생성 중단

이더리움(ETH) 레이어2 네트워크 타이코(Taiko)가 ‘브릿지’ 취약점 공격으로 약 170만 달러(약 26억 원) 손실을 입고 블록 생성 중단과 자산 인출 권고라는 긴급 조치에 나섰다. 올해 들어 반복된 크로스체인 취약점이 다시 한 번 드러났다는 평가다.

타이코는 22일(현지시간) 공격자가 브릿지 검증에 쓰이는 ‘증명(proof)’을 위조해 부정 출금을 승인받는 방식으로 자금을 빼냈다고 밝혔다. 초기 추산 피해액은 약 170만 달러(약 26억 원)이며, 팀이 유출을 차단하면서 추가 손실은 제한됐다.

브릿지 ‘증명 위조’…가짜 출금이 실제 자산으로 전환

브릿지는 타이코와 이더리움 간 자산 이동을 담당하는 핵심 인프라다. 이번 공격은 출금 요청이 실제 입금과 일치하는지 확인하는 ‘증명’을 위조한 데서 시작됐다. 공격자는 타이코 체인에서의 실제 거래 없이도 이더리움 측에서 유효한 출금으로 인식되도록 만들었고, 그 결과 브릿지와 토큰 금고에서 자금이 빠져나갔다.

타이코 측은 공격자가 약 200만 타이코(TAIKO)를 탈취해 MEXC 계정으로 이동시킨 사실도 확인했다. 이는 약 17만 달러(약 2억6천만 원) 규모다.

원인은 ‘서명 키 유출’ 가능성…깃허브 노출 지목

보안업체 블록섹(BlockSec)은 초기 조사에서 타이코의 증명 생성 시스템 ‘라이코(Raiko)’의 서명 키가 깃허브에 공개된 것이 핵심 원인일 가능성을 제기했다. 해당 키는 원래 보안 하드웨어에 보관돼야 하지만, 외부에 노출되면서 공격자가 자신을 정상 검증자로 등록하고 위조된 증명에 서명할 수 있었던 것으로 분석된다.

이 키를 통해 생성된 가짜 증명은 타이코 검증기를 통과했고, 결국 이더리움에서 실제 자산이 해제되는 결과로 이어졌다.

블록 생성 중단·거래소 입금 차단…긴급 대응

타이코는 사건 직후 모든 브릿지에서 자산을 인출하라고 공지하고, 중앙화 거래소에는 TAIKO 입금 중단을 요청했다. 또한 블록 생성자에게 신규 블록 생성을 멈추도록 지시했다.

팀은 미 동부시간 기준 오전 2시경 공격이 ‘통제’됐다며, 주요 브릿지와 토큰 금고에서의 출금이 전면 중단됐다고 밝혔다.

반복되는 브릿지 취약점…올해 피해 3억4천만 달러

이번 사건은 규모 자체는 제한적이지만, ‘크로스체인 메시지 위조’라는 동일한 취약점이 반복되고 있다는 점에서 의미가 크다. 4월 켈프다오(Kelp DAO)는 2억9200만 달러, 5월 베러스-이더리움 브릿지는 1140만 달러를 같은 방식으로 잃었다.

2026년 들어 브릿지를 노린 공격은 최소 14건, 누적 피해는 3억4000만 달러(약 5227억 원)를 넘어섰다. 타이코는 비교적 빠른 대응으로 피해를 제한했지만, 구조적 리스크는 여전히 해결 과제로 남았다.

타이코는 2024년 5월 이더리움 기반으로 출시된 레이어2 프로젝트로, 이번 사건에 대한 상세 분석 보고서를 아시아 시간 기준 추가 공개할 예정이다.