폴리마켓, UMA 어댑터 취약점에 뚫렸다…60만 달러 피해

블록체인 예측 시장 플랫폼 폴리마켓이 스마트컨트랙트 취약점을 노린 공격으로 약 60만 달러(약 9억200만 원) 규모의 자산을 탈취당했다. 핵심 원인은 ‘UMA CTF 어댑터’라는 통합 레이어의 보안 공백으로 지목된다.

온체인 분석가 잭엑스비티(ZachXBT)에 따르면 공격자는 폴리곤(MATIC) 네트워크에서 실행된 해당 어댑터 계약을 악용했으며, 공격 지갑 주소는 ‘0x8F98075db5d6C620e8D420A8c516E2F2059d9B91’로 확인됐다. 그는 텔레그램을 통해 긴급 경고를 발령했고, 이어 데이터 분석 업체 버블맵스(Bubblemaps)도 폴리마켓 사용 중단을 권고했다.

이번에 악용된 ‘UMA CTF 어댑터’는 폴리마켓이 예측 결과를 정산하기 위해 UMA의 옵티미스틱 오라클을 연동한 커스텀 스마트컨트랙트다. 하지만 이는 UMA의 공식 감사 대상이 아닌 별도 통합 코드로, 프로젝트 자체 로직과 권한 구조를 포함한다. 즉, 기본 프로토콜이 아닌 ‘연결 부위’에서 보안 취약점이 발생한 셈이다.

이 같은 구조적 문제는 디파이(DeFi) 업계에서 반복적으로 나타나는 패턴이다. 폴리마켓 역시 2021~2022년 체인시큐리티(ChainSecurity)의 감사를 통해 핵심 거래 계약의 보안을 점검받았지만, 해당 어댑터는 감사 범위에 포함되지 않았다. 결국 감사 사각지대가 공격 표면으로 작용했다.

폴리마켓은 과거에도 오라클 관련 리스크를 겪은 바 있다. 이른바 ‘파리 사건’에서는 외부 데이터 오류로 인해 시장 정산에 문제가 발생했다. 이는 예측시장 구조상 오라클과 어댑터 설계가 ‘시스템 전체의 약점’이 될 수 있음을 시사한다.

온체인 데이터에 따르면 공격자는 약 30초 간격으로 5,000 폴리곤(MATIC) 토큰을 반복적으로 인출했다. 자동화된 스크립트를 활용한 것으로 보이며, 전체 피해 규모는 약 52만~60만 달러로 추산된다. 탈취된 자금은 이후 15개의 별도 지갑으로 분산 이동했으며, 이는 추적을 어렵게 만드는 전형적인 초기 세탁 방식으로 분석된다.

현재까지 해당 자금은 믹서나 다른 체인으로 이동하지 않은 상태지만, 다중 지갑 분산으로 인해 회수 가능성은 제한적이다. 다만 초기 지갑이 공개된 만큼, 거래소 협조 여부가 향후 자금 추적의 핵심 변수로 작용할 전망이다.

이번 사건은 ‘프로토콜 자체’보다 ‘통합 레이어’의 보안이 더 취약할 수 있음을 다시 한번 드러냈다. 디파이 플랫폼이 확장될수록 이러한 연결 지점의 리스크 관리가 중요해지고 있다는 점에서, 업계 전반의 보안 점검 강화가 요구된다.