Wasabi 프로토콜, 관리자 키 유출로 추정되는 450만 달러 탈취 발생

이번 공격은 이달 초 드리프트(Drift)에서 발생한 2억 8,500만 달러 규모 침해 사건과 유사한 수법을 사용했습니다: 타임락이나 다중 서명 기능이 없는 탈취된 배포자 키로 자금을 빼냈습니다.

Hacker facing screens with lines of code (Boitumelo/Unsplash)
Summary
  • 이더리움과 베이스(Base)에서 운영되는 영구 계약 거래 플랫폼인 와사비 프로토콜(Wasabi Protocol)이 배포자 관리자 키가 침해당한 후 약 455만 달러 상당의 자금이 탈취당했습니다.
  • 공격자는 탈취한 키를 사용하여 자신에게 관리자 권한을 부여하고 Wasabi의 금고 계약을 악의적인 버전으로 변경하여 양 체인의 여러 풀에서 자산을 빼냈습니다.
  • 관리자 역할에 대한 타임록(lock)이나 다중서명(multisig)과 같은 안전장치가 결여된 이번 사건은 올해 7억 7천만 달러가 넘는 디파이(DeFi) 손실에 추가되었으며, Drift Protocol과 Kelp DAO에서 발생한 최근 주요 키 유출 공격과 유사한 측면을 보이고 있습니다.

DeFi는 계속해서 손실을 피할 수 없으며, 와사비 프로토콜이 그 원인을 최근에 알게 되었습니다.

이더리움과 베이스(Base) 위에 구축된 영구 계약 거래 플랫폼인 해당 프로토콜은 보안 업체 에 따르면 목요일 공격자들이 배포자 키를 탈취하면서 약 455만 달러 상당이 유출되었다.Blockaid는 X 게시물에서 말했다.

이번 해킹은 지난 한 달 동안 12건 이상의 사건에서 발생한 6억 500만 달러 이상의 디파이(DeFi) 손실 중 최근 사례입니다. 이번 공격은 4월 1일 발생한 드리프트 프로토콜(Drift Protocol) 해킹과 매우 유사합니다. 당시 북한 연계 해커들은 권한이 탈취된 관리자 키를 이용해 솔라나(Solana) 기반 영구 선물 거래소에서 2억 8,500만 달러를 빼냈습니다.

해당 메커니즘은 외부 소유 계정(EOA)인 wasabideployer.eth를 통해 운영되었으며, 이 계정은 Wasabi 권한 시스템에서 유일한 ADMIN_ROLE을 보유하고 있었습니다.

EOA는 스마트 계약과 달리 개인 키로 제어되는 지갑입니다. 키를 보유한 사람이 지갑을 제어합니다. 공격자가 배포자 키에 접근하자마자 권한 계약에서 grantRole을 호출하여 지체 없이 자신에게 관리자 권한을 부여했습니다.

Blockaid에 따르면, 그들의 헬퍼 계약이 와사비의 무기한 선물 금고와 롱 풀을 잔액을 탈취하는 악의적인 구현으로 업그레이드했다고 한다.

이 익스플로잇은 동일한 주소를 유지하면서 스마트 계약의 기본 코드를 변경할 수 있도록 하는 Universal Upgradeable Proxy Standard(UUPS)라는 표준에 의존했습니다.

UUPS는 개발자가 사용자를 이전하지 않고도 버그를 수정할 수 있기 때문에 널리 사용됩니다. 단점은 공격자가 관리자 권한을 통제할 경우, 자금을 탈취하기 위한 코드 등 원하는 모든 논리로 계약을 교체할 수 있다는 점입니다.

Blockaid에 따르면 Wasabi에는 관리자 역할을 보호하는 타임락이나 다중서명(multisig)이 없었습니다. 타임락은 관리자의 조치가 발표된 시점과 실행되는 시점 사이에 지연을 강제하여 사용자에게 대응할 시간을 부여합니다. 다중서명은 변경 사항을 승인하기 위해 여러 명의 서명이 필요합니다. Wasabi에는 이 두 가지가 모두 없어 단일 키가 프로토콜에 대한 완전한 통제권을 보유하고 있었습니다.

Blockaid에 따르면, 손상된 계약에는 Ethereum상의 Wasabi의 wWETH, sUSDC, wBITCOIN, wPEPE 및 Long Pool 금고뿐만 아니라 Base상의 sUSDC, wWETH, sBTC, sVIRTUAL, sAERO 및 sBRETT 금고가 포함됩니다.

와사비 LP 토큰을 보유한 사용자들은 해당 토큰을 뒷받침하는 기초 자산이 모두 인출되었거나 여전히 위험에 노출되어 있으므로 금고 계약에 대한 모든 활성 승인 권한을 해제할 것을 권고받았다.

한 달간의 익스플로잇

Drift의 경우, 공격자들은 거버넌스 타임록이 없는 단일 키 관리자 설정을 악용하여 가짜 토큰을 담보로 상장하고 인출 한도를 상향 조정했습니다 약 12분 만에 실물 자산을 유출하기 위해.

3주 후인 4월 19일, 켈프 DAO는 2억 9,200만 달러를 손실했다 공격자가 프로토콜의 LayerZero 브리지에서 단일 검증자 구성을 악용하여 116,500개의 담보 없는 rsETH를 탈취했고, 이 자산은 이후 Aave에서 실제 이더(ETH)를 차입하는 담보로 사용되었습니다.

2026년 누적 디파이(DeFi) 손실액은 30건이 넘는 보고된 사건을 합쳐 이제 7억 7,000만 달러를 넘어섰습니다. 이 중 4월 한 달이 해당 금액의 대부분을 차지하고 있습니다.

이번 달 소규모 침해 사고로 CoW Swap(120만 달러), Grinex(1,374만 달러), Resolv Labs(2,300만 달러), Volo Protocol(350만 달러) 등이 피해를 입었다.

이들을 연결하는 것은 새로운 취약점이 아닙니다. 각 사건은 교훈에 대한 동일한 사후 분석 언어를 생성하지만, 다음 공격은 보통 교훈이 실행되기 전에 발생합니다.

와사비는 이번 사건에 대해 아직 공식 입장을 발표하지 않았다.

업데이트 (4월 30일, 11:34 UTC): 전반적인 수정 진행. Drift Protocol 익스플로잇 내용을 세 번째 단락으로 이동.

ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

왜 중요한가:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.