Wasabi Protocol, 관리자 키 취약점 공격으로 500만 달러 이상 손실
사건 발생 경위
블록체인 보안 기업 펙실드(PeckShield)의 보고에 따르면, 온체인 무기한 선물 프로토콜인 와사비(Wasabi)가 2026년 4월 30일 해킹을 당해 이더리움, 베이스(Base), 베라체인(Berachain), 블래스트(Blast)에 걸쳐 500만 달러 이상의 자산이 유출되었습니다.
공격자는 와사비의 PerpManager AccessManager에서 유일하게 관리자 권한을 가진 주소인 디플로이어(Deployer) 지갑(wasabideployer.eth로 확인됨)을 통해 ADMIN_ROLE을 획득했습니다. 이후 금고(Vaults)를 사용자 잔액을 빼돌리는 악성 구현체로 업그레이드했습니다. 초기 집계 결과 약 455만 달러가 인출되었으며, 현재 조사가 진행 중입니다.
와사비는 X(구 트위터)를 통해 해당 사건을 인정하며 조사 기간 동안 프로토콜 사용을 자제할 것을 사용자에게 권고했습니다. 또한 SEAL 911 및 블록에이드(Blockaid)를 포함한 전문 온체인 보안 대응팀을 고용했음을 확인했습니다. Block Field
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
공격 실행 방식
이번 공격은 UUPS 업그레이드 취약점 공격(UUPS upgrade exploit)으로 알려진 메커니즘을 통해 수행되었습니다. 공격자는 디플로이어 계정을 탈취한 후, 보안 코드를 악성 로직으로 대체하는 컨트랙트 업그레이드를 실행하여 금고와 유동성 풀의 자금을 자신의 주소로 리다이렉트했습니다. 해당 프로토콜에는 타임락(Timelock) 메커니즘이 없었기 때문에 변경 사항이 즉시 적용되었으며, 개발자나 사용자가 개입할 시간적 여유가 없었습니다.
침해 사고의 주요 기술적 세부 사항은 다음과 같습니다:
- 공격자는 지연 시간 없이 디플로이어 EOA에서
grantRole을 호출하여 자신의 오케스트레이터(Orchestrator) 컨트랙트를 즉시 관리자로 전환했습니다. - 영향을 받은 금고의 Wasabi 및 Spicy LP 공유 토큰은 '침해됨'으로 표시되었으며, 상환 가치는 0에 수렴하고 있습니다.
- 블록에이드는 동일한 공격자 주소, 오케스트레이터 컨트랙트 및 전략 바이트코드가 이전에 와사비를 겨냥했던 활동과 연결되어 있음을 지적했습니다.
- 악의적인 행위의 즉각적인 실행을 방지하기 위한 멀티시그(Multi-signature) 인증이나 시간 지연과 같은 보호 장치가 없었습니다.
2026년 4월: DeFi 역사상 최악의 달
와사비 익스플로잇은 단독으로 발생한 사건이 아닙니다. 이번 해킹은 두 건의 대형 익스플로잇과 20건 이상의 소규모 사고가 발생한 DeFi 업계의 잔혹한 한 달을 마무리하는 사건이 되었습니다. 모나드(Monad)의 전 DeFi 책임자는 X를 통해 2026년 4월 한 달 동안 30일간 28건의 사고가 발생하여 약 6억 3,500만 달러의 손실이 발생했다고 언급했습니다.
이달의 가장 큰 두 사건은 다음과 같습니다:
- 드리프트 프로토콜(Drift Protocol) — 4월 1일, 솔라나 기반 무기한 선물 거래소에서 15개 이상의 다양한 토큰 유형에 걸쳐 약 2억 7,000만 달러의 자금이 유출되었습니다. 이는 6개월간 준비된 북한 국가 연계 조직의 작전으로 보고되었습니다.
- 켈프 DAO(Kelp DAO) — 4월 18일, 북한 국가 배후로 의심되는 공격자가 레이어제로(LayerZero) 브리지를 악용하여 크로스체인 메시지를 위조했습니다. 이를 통해 소스 측에 자산을 잠그지 않고도 116,500 rsETH를 발행했습니다. 이후 공격자는 담보가 없는 rsETH를 에이브(Aave)에 담보로 예치하고 약 2억 3,600만 달러의 실물 WETH를 대출했습니다.
켈프 사건에 대한 대응으로 'DeFi United'라 불리는 DeFi 프로토콜과 개인들의 전례 없는 공동 노력이 이어졌으며, 켈프의 rsETH 담보 가치를 복구하기 위해 3억 달러 이상이 모금되었습니다.
AI 해커 이론
최근 익스플로잇의 빈도와 정밀함으로 인해 공격자가 사용하는 도구에 대한 논쟁이 다시 불거지고 있습니다. 개발자 비토 리바벨라(Vitto Rivabella)는 북한이 수년간 훔친 DeFi 데이터를 기반으로 자체 AI 모델을 훈련시켰다는 이론을 공개적으로 제기했습니다. 그는 이 AI가 이제 자율적인 익스플로잇 도구로 작동하며, 인간 보안 검토자가 패치를 적용하는 것보다 더 빠르게 프로토콜을 공략하고 있다고 시사했습니다. 비록 검증되지는 않았지만, 이 가설은 공격자가 프로토콜 방어팀에 비해 가질 수 있는 비대칭적 우위에 대한 보안 커뮤니티의 커지는 우려를 반영합니다.
사용자가 지금 해야 할 일
보안팀은 영향을 받은 개인들에게 중요한 첫 단계로서 프로토콜과 관련된 모든 스마트 컨트랙트 권한(Permission)을 철회(Revoke)할 것을 권고하고 있습니다. Revoke.cash와 같은 도구를 사용하면 이전에 침해된 컨트랙트에 부여했던 접근 권한을 삭제할 수 있습니다. 사용자는 의심스러운 링크나 비공식 복구 프로그램과의 상호작용을 피해야 하며, 검증된 공식 발표만을 모니터링해야 합니다.
AI가 현재의 익스플로잇 파동을 가속화하고 있는지 여부와 관계없이, 와사비 사건은 한 가지 구조적 문제를 분명하게 보여줍니다. 타임락이나 멀티시그 제어가 없는 단일 키 관리자 아키텍처는 오늘날 DeFi에서 여전히 가장 악용되기 쉬운 취약점 중 하나로 남아 있습니다.
Coinplurk.com에서 발행
커뮤니티 토론
0 답글토론에 참여하려면 로그인하세요
지금 로그인아직 댓글이 없습니다. 첫 번째로 댓글을 남겨보세요!