뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
3
이더리움(Ethereum)의 최신 업그레이드 '펙트라(Pectra)'가 스마트 계정 개선과 확장성 강화를 목표로 도입됐지만, 동시에 위험한 공격 경로도 개방한 것으로 드러났다. 이번 업그레이드를 통해, 해커는 단순한 오프체인 서명만으로 지갑에서 자금을 탈취할 수 있는 새로운 방식의 공격이 가능해졌다.
펙트라는 지난 5월 7일, 이더리움 블록높이 364032 에폭(epoch)에서 공식 적용됐다. 그러나 이 시점부터, 공격자는 네트워크 내 새롭게 도입된 트랜잭션 형식을 활용해 외부 소유 계정(EOA)을 실제 온체인 서명 없이도 조작할 수 있게 됐다. 솔리디티 보안 감사 전문가 아르다 우스만(Arda Usman)은 코인텔레그래프에 “펙트라가 적용된 이후, 공격자가 단지 오프체인에서 서명된 메시지만 가지고도 EOA 지갑의 자금을 탈취할 수 있게 됐다”고 경고했다.
이 같은 위험은 EIP-7702로부터 비롯됐다. 해당 개선안은 트랜잭션 유형 0x04번으로 분류되는 'SetCode' 기능을 제안하며, 사용자가 단순한 서명만으로 지갑 권한을 외부 스마트 계약에게 위임할 수 있도록 한다. 문제는 이 서명이 악성 웹사이트 같은 피싱 경로를 통해 탈취될 경우, 공격자가 피해자의 지갑 코드를 변경해 자신이 만든 악성 프록시로 연결되는 방식을 구현할 수 있다는 점이다.
이 과정에서 피해자는 온체인 상의 어떠한 명시적 승인도 하지 않았지만, 그의 지갑은 공격자에게 완전히 개방된다. 특히 지갑 코드 변경이 트랜잭션 방식으로 이루어지지 않고, 단순 서명만으로 실행 가능하다는 점에서 파장은 크다.
이더리움 커뮤니티는 기능 강화와 편의성 증가라는 원래 취지와 달리, 펙트라가 새로운 보안 리스크를 수반하게 됐다는 점에서 우려를 표하고 있다. EIP-7702의 유연성과 강력함은 분명하지만, 그에 상응하는 보안 장치 마련이 시급하다는 지적이 잇따르고 있다.
