IPOR Labs, 아비트럼서 해킹 피해…EIP-7702 악용해 33만 달러 탈취

IPOR Labs가 이더리움 확장 네트워크 아비트럼(Arbitrum)에서 운영하던 USDC 퓨전 옵티마이저 금고가 해킹으로 인해 약 33만6,000달러(약 4억8,644만 원) 상당의 손실을 입었다. 피해는 일부 구형 스마트 계약의 보안 허점과 이더리움 업그레이드를 통해 새롭게 도입된 위임 실행 기능을 조합해 악용한 것으로 나타났다.

사건은 블록체인 보안사 헥사가이트와 블록에이드가 지난 1월 6일 이상 거래를 감지하며 시작됐다. IPOR Labs는 내부 조사 끝에 해당 금고가 '퓨즈(fuse)' 설정을 악용한 공격 거래로 인해 불법 자금 이탈이 발생했다고 확인했다. 탈취된 자산은 이더리움 메인넷으로 브릿지된 뒤 프라이버시 믹싱 서비스인 토네이도캐시로 송금됐고, 보안업체 서틱은 이 경로를 추적해 약 33만 달러(약 4억7,954만 원)가 믹싱된 정황을 포착했다.

구형 코드와 신규 기능의 ‘공격적인 조합’

이번 해킹은 두 가지 조건이 맞물리며 가능해졌다는 분석이다. 우선 피해를 입은 금고는 490일 전 구축된 첫 번째 버전으로, 내부에서 ‘퓨즈’라 불리는 계약 모듈의 진위를 검증하는 절차가 누락돼 있었다. 이 때문에 공격자는 관리자만 접근 가능한 설정 권한을 탈취해 악의적 퓨즈를 삽입할 수 있었다.

여기에 더해, 최근 이더리움 ‘펙트라(Pectra)’ 업그레이드의 일환으로 도입된 EIP-7702 위임 기능이 결정적 통로가 됐다. 공격자는 해당 기능으로 관리자 계정을 가장해 ‘arbitrary call(임의 호출)’ 기능이 포함된 위임 계약을 작동시켰다. 이를 통해 금고의 출금 함수를 직접 호출하며 자금을 자신의 지갑으로 이체하는 치밀한 작업을 완료한 것이다.

IPOR 측은 해당 공격이 순간 출금 기능이 실행되는 시점에 맞춰 이뤄졌으며, 기존 보안 감지 시스템이 이를 실시간으로 차단하지 못했다고 밝혔다.

신규 금고는 안전…피해 전액 환불 예정

IPOR는 이후 버전으로 배포된 모든 금고에는 퓨즈 검증 체계가 도입돼 있어 동일한 방식의 공격은 불가능하다고 강조했다. 공격자가 악용한 EIP-7702 위임 계약은 단 두 개의 금고에서만 보상 자동화 기능으로 쓰였으며, 이 중 보안 강화 이전에 배포된 금고가 유일한 취약점으로 남아 있던 상황이었다.

피해 복구를 위해 IPOR DAO는 자체금 33만6,000달러 상당을 지급할 예정이며, 이는 전체 퓨전 플랫폼 자금의 1% 미만에 해당한다. 현재 IPOR는 보안회사 SEAL과 협력해 자금 흐름을 추적하는 한편, 교환소 등과의 연계를 통해 도난 자산 환수 작업도 병행 중이다.

12월은 해킹 감소세, 1월부터 다시 급증

보안사 팩실드에 따르면, 2025년 12월 암호화폐 해킹 규모는 7,600만 달러(약 1,100억 원)로 전월 대비 60% 감소했지만, 2026년 1월 들어 다시 치밀한 공격이 속출하고 있다. 최근 들어 크로스체인 지갑 공격, 멀티시그 지갑 탈취, 공급망 해킹 등 다양한 유형의 공격이 급증세다.

가장 주목된 사건 중 하나는 트러스트 월렛의 크리스마스 공급망 해킹으로, 악성 npm 패키지를 통해 개발자 지갑 정보가 유출되며 2,500여 개 지갑에서 약 700만 달러(약 101억 원) 규모의 비트코인(BTC), 이더리움(ETH), 솔라나(SOL)이 탈취됐다.

전문가들은 코드는 점차 안전해지고 있으나, 사람의 실수와 운영 보안이 새로운 약점으로 부상하고 있다고 경고한다. 보안 플랫폼 이뮤니파이의 미첼 아마도르는 “개발 코드보다 금고 운영과 사용자 습관이 새로운 공격 초점이 되고 있다”고 말했다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.