10억 개의 DOT가 무작위로 발행되었지만 해커는 단지 23만 달러만 벌었다

작성자: Zhou, ChainCatcher

베이징 시간 4월 13일 오전, 체인 모니터링 플랫폼이 연이어 경고를 발령했습니다: 이더리움 네트워크의 Polkadot 브릿지 자산에서 비정상적인 증발이 발생했습니다.
CertiK 분석에 따르면, 공격자는 Hyperbridge의 ISMP 프로토콜을 통해 이더리움 측의 HandlerV1 계약에 정교하게 구성된 크로스 체인 요청을 제출하고, 역사적으로 시스템에서 수용된 실제 MMR 증명서를 결합하여 검증 메커니즘을 성공적으로 우회했습니다.

BlockSec Phalcon은 이후 기술 경고를 발표하며 이번 취약점을 MMR 증명서 재사용 취약점으로 분류했습니다. 그들의 분석에 따르면, 취약점의 근본 원인은 HandlerV1 계약의 재사용 보호가 특정 요청의 해시 값이 사용된 적이 있는지만 검증하고, 증명 검증 과정에서 제출된 요청의 페이로드와 검증된 증명을 결합하지 않았기 때문입니다.

이러한 논리적 결함으로 인해 공격자는 역사적으로 유효한 증명을 재사용하고 이를 새롭게 구성된 악의적인 요청과 결합하여 TokenGateway.onAccept() 경로를 통해 ChangeAssetAdmin 작업을 실행하여 이더리움에서 wrapped DOT 계약(주소: 0x8d…8F90b8)의 관리자 및 발행 권한을 공격자가 제어하는 주소로 이전할 수 있었습니다.

체인 상 데이터에 따르면, 발행 권한을 얻은 후 공격자는 10억 개의 브릿지 버전 DOT를 발행했으며, 이 수량은 당시 이더리움에서 해당 토큰의 보고된 유통량 약 356,000개의 2805배에 해당합니다.

이후 공격자는 Odos Router와 Uniswap V4 유동성 풀을 통해 모든 자산을 약 108.2 ETH로 교환하고 공격자의 외부 계좌로 이체하여 당시 가격 기준으로 약 23.7만 달러의 이익을 얻었으며, 전체 공격에 소모된 가스 비용은 약 0.74 달러에 불과했습니다.

BlockSec Phalcon은 또한 이전에 동일한 방법을 사용한 공격이 발생했으며, MANTA와 CERE 토큰을 대상으로 약 1.2만 달러의 손실이 발생했다고 언급했습니다. 두 번의 공격으로 총 손실은 약 24.2만 달러에 달합니다.

사건 발생 후, 한국의 주요 거래소 Upbit과 Bithumb은 DOT 및 AssetHub Polkadot 네트워크의 입출금 서비스를 중단한다고 발표하여 잠재적인 가짜 입금 위험을 방지했습니다.

Polkadot 공식은 이 취약점이 Hyperbridge를 통해 이더리움으로 크로스 체인된 DOT에만 영향을 미치며, Polkadot 생태계 내의 자산이나 다른 크로스 체인 브릿지를 통해 이동된 DOT에는 영향을 미치지 않는다고 밝혔습니다. Polkadot 및 그 평행 체인, 원주율 DOT는 모두 안전하며 영향을 받지 않았습니다. 현재 Hyperbridge는 문제 조사를 위해 운영이 중단되었습니다.

주목할 점은, 비록 발행 규모가 10억 개에 달했지만, 실제 손실은 이론적 수치보다 훨씬 낮다는 것입니다. 이더리움에서 wrapped DOT의 체인 상 유동성이 극히 제한적이기 때문에, 10억 개의 토큰이 집중적으로 매도되면서 wrapped DOT 가격이 1.22 달러에서 0.00012831 달러로 폭락하여 99.98% 하락했으며, 대부분의 토큰은 효과적으로 현금화할 수 없었습니다.

CoinMarketCap 데이터에 따르면, 원주율 DOT 토큰 가격도 시장 감정에 의해 일시적으로 5% 가까이 하락했습니다.

X에서 사용자들은 누가 상상이나 했겠습니까, 한때 이더리움과 나란히 했던 크로스 체인 신화 DOT가 이런 방식으로 소셜 미디어를 폭발시킬 줄은. 크로스 체인 브릿지는 다시 한번 암호화 세계의 "아킬레스건"이 되었고, 한때 무관심했던 적막은 이제 처참한 모습으로 변했습니다. 10억 개의 DOT가 허공에서 나타나자 모든 기술 지표는 무용지물이 되었습니다.

일부 사용자들은 낮은 유동성이 이번 사고에서 "Polkadot의 목숨을 구했다"고 농담하며 실제 손실을 약 23.7만 달러로 제한했다고 말했습니다.

그러나 브릿지 자산의 낮은 유동성은 해커의 이익을 제한했지만, 크로스 체인 상호 운용 계층의 잠재적 취약성을 드러냈습니다.

전해진 바에 따르면, Hyperbridge는 Polytope Labs에서 개발한 Polkadot 생태계의 크로스 체인 상호 운용 프로젝트로, 오랜 기간 암호학적 증명을 다중 서명 위원회에 대한 핵심 보안 메커니즘으로 삼아 신뢰 최소화의 크로스 체인 인프라로 자리 잡고 있습니다. 이 프로젝트는 이전에 일반적인 브릿지 공격에 대한 저항 능력을 강조해왔습니다.

하지만 이번 사건은 암호학적 증명 메커니즘 자체가 온전하다고 해서 안전을 보장할 수 없으며, 이더리움 측 Gateway 계약의 구체적인 구현 논리 또한 공격 표면을 구성한다는 것을 나타낼 수 있습니다.

더 거시적인 관점에서 볼 때, 이번 사건은 2026년 이후 DeFi 보안 상황이 지속적으로 심각한 상황을 반영하는 단면입니다. 올해 들어 여러 차례 중대한 공격 사건이 발생했으며, Venus는 가격 조작으로 인해 215만 달러의 부실 채권을 발생시켰고, Resolve는 8,000만 개의 USR을 초과 발행했으며, Drift는 2.85억 달러의 자산을 도난당했습니다. 공격 방식은 다양하고, 관련 분야도 광범위합니다.

발행 권한을 장악하여 무한 증발을 하는 것은 새로운 공격 방식이 아닙니다. 다만, Hyperbridge는 유동성이 극히 얕아 손실이 오히려 예상보다 낮아졌습니다.

CertiK 데이터에 따르면, 3월 한 달 동안 46건의 보안 사건이 기록되었으며, 총 손실은 약 3,980만 달러로 2024년 11월 이후 한 달 기준 최고 기록입니다. CertiK는 또한 코드 취약점 이용 빈도가 증가하고 있으며, 이는 인공지능 기반의 취약점 탐지 도구의 출현과 관련이 있을 수 있다고 지적했습니다.

공격 빈도의 증가 또한 업계가 안전과 규제의 경계를 재검토하도록 촉진하고 있습니다. Circle의 최고 전략 책임자 Dante Disparte는 이전에 Drift Protocol 도난 사건에 대한 응답에서 프로토콜, 지갑, 거래소 및 스테이블코인 발행자가 안전과 책임을 공동 의무로 삼아야 하며, DeFi 프로토콜은 전통 시장의 서킷 브레이커 메커니즘을 참고하여 체인 상 기술 보호 수단을 개발하고, 관련 법안이 다음 중대한 사건 발생 전에 재산권과 금융 프라이버시 보호 기준을 법률에 포함시키도록 촉구해야 한다고 말했습니다.