솔라나 기반 DEX 드리프트 프로토콜이 멀티시그 승인 절차와 사회공학을 악용한 공격으로 2억8000만달러 규모 자산을 탈취당했을 가능성이 제기됐다고 전했다.

온체인 조사자들은 USDC의 크로스체인 이동 과정에서 서클의 동결 대응이 지연됐다고 비판했으며, ‘탈중앙화’ 구조와 멀티시그 운영 취약성 논란이 커지고 있다고 밝혔다.

솔라나 드리프트 프로토콜 해킹 의혹…멀티시그·사회공학으로 2억8000만달러 탈취 정황 / TokenPost.ai

솔라나(SOL) 기반 탈중앙화 거래소 드리프트 프로토콜(Drift Protocol)이 약 2억8000만달러 규모의 해킹 피해를 입은 것으로 알려졌다. 이번 사건은 단순한 코드 취약점보다 ‘사회공학’과 멀티시그 승인 절차 악용이 핵심으로 지목되면서, 크립토 보안의 허점을 다시 드러냈다.

드리프트, 이상 활동 경고 뒤 입출금 중단

드리프트는 4월 1일 오후 7시(UTC+1)쯤 프로토콜에서 ‘비정상 활동’이 감지됐다며 이용자들에게 입금을 피하라고 공지했다. 회사는 “만우절 농담이 아니다”라고 선을 그었고, 이후 공격이 진행 중이라며 입출금을 중단했다. 시장에서는 곧바로 대규모 탈취 가능성이 제기됐고, 연구자들은 개인키 유출 여부까지 의심했다.

공격 배후, 멀티시그 승인과 ‘지속적 넌스’ 악용 가능성

드리프트는 이후 상세 타임라인을 내놨다. 회사는 이번 공격이 프로토콜 코드나 스마트계약 버그 때문이 아니라, 수주에 걸친 준비와 단계적 실행이 결합된 고도화된 작전이었다고 설명했다. 특히 ‘durable nonce’ 계정을 활용해 미리 서명된 거래를 지연 실행했고, 그 과정에서 직원 대상 사회공학 공격이 승인 절차를 무력화했을 가능성이 크다고 밝혔다.

지속적 넌스는 블록 해시 서명을 우회해 오프라인 서명을 가능하게 하는 블록체인 도구다. 드리프트에 따르면 지난 3월 23일 네 개의 해당 계정이 생성됐고, 이 중 두 개는 드리프트 보안위원회 멀티시그와 연관됐으며 나머지 두 개는 공격자 측 계정으로 연결됐다. 이어 3월 27일 위원회 구성 변경에 따른 멀티시그 이전이 진행됐고, 사흘 뒤에는 새 멀티시그 구성원의 계정에 또 다른 넌스 계정이 만들어지면서 공격자가 사실상 5명 중 2명의 서명 권한에 접근할 수 있게 됐다는 설명이다.

‘탈중앙화’ 논란과 서클(Circle)의 대응 지연 비판

사건 당일 공격자는 보험기금에서 시험 인출을 수행한 뒤, 멀티시그 승인을 이용해 악성 관리자 전송을 실행하고 프로토콜 수준 권한을 장악한 것으로 전해졌다. 이후 사전 설정된 출금 제한을 없애고 자산을 빼돌린 정황이 포착됐다.

이번 사건은 스테이블코인 발행사 서클(Circle)의 대응 속도에도 불만을 불렀다. 온체인 조사자 잭엑스비티(ZachXBT)는 “수시간 동안 수천만달러 규모의 USDC가 솔라나에서 이더리움으로 옮겨졌는데도 서클은 잠들어 있었다”고 비판했다. 드리프트가 서클의 크로스체인 전송 프로토콜을 연동한 만큼, 동결이 늦어지며 피해 확산을 막지 못했다는 지적이다.

일부 이용자들은 이번 사고가 중앙화된 승인 구조를 파고든 것이라며, 드리프트를 ‘탈중앙화’로 부르는 데 의문을 제기했다. 또 5개 멀티시그 중 2개만으로 거래가 실행된 구조 자체가 취약했다는 비판도 나온다.

드리프트는 보안업체, 법 집행기관, 브리지, 거래소와 함께 자금 추적과 동결 작업을 진행 중이라고 밝혔다. 업계에서는 이번 사건이 지난해 바이비트(Bybit) 해킹과 유사한 수법일 수 있다는 관측도 제기된다. 솔라나 생태계의 대형 사고로 번진 만큼, 멀티시그 운영과 사회공학 대응 체계 전반에 대한 재점검이 불가피해 보인다.

기사요약 by TokenPost.ai