트럼프 코인 WLFI, 이더리움 업그레이드 보안 취약점으로 피싱 공격 피해 급증

슬로미스트(SlowMist) 보안 연구원들에 따르면 최근 해커들이 이더리움 EIP-7702 업그레이드의 보안 취약점을 악용해 도널드 트럼프 대통령 지원 암호화폐 프로젝트의 WLFI 토큰을 탈취하는 사례가 증가하고 있다.

이들 공격은 지난 5월 진행된 이더리움 펙트라 업그레이드의 취약점을 이용한다. 펙트라 업그레이드로 외부 지갑(EOA)이 스마트 컨트랙트에 통제권을 위임할 수 있게 되면서 공격자들이 악의적 코드를 심어 즉시 유입되는 ETH 및 토큰을 모두 탈취할 수 있게 되었다.

월드리버티파이낸셜, 이더리움 취약점의 최신 피해자로 전락

슬로미스트에 따르면 복수의 WLFI 토큰 보유자가 이러한 공격으로 자산을 잃었다. 해커들은 프라이빗키 도난 공격에 악의적 위임 계약 배포 전략을 함께 활용한 것으로 드러났다.

이러한 공격 전략은 지난 5월 7일 이더리움의 펙트라 업그레이드 이후 급증했다. EIP-7702 위임 계약의 97% 이상이 자동으로 자금을 탈취하는 동일한 지갑 탈취 계약과 관련 있는 것으로 나타났다.

보안 회사 슬로미스트는 프라이빗키를 잃은 피해자는 미리 심은 악의적 위임 계약을 통해 자산을 전부 잃을 수 있다고 경고했다.

又遇到一位玩家多个地址的 $WLFI 都被盗事件，看了下盗窃手法，又是 7702 delegate 恶意合约利用，前提也是私钥泄露，黑客在目标钱包地址上提前埋伏好恶意的 7702 delegate 地址，之后将目标地址所有 ETH 及价值 token（比如这里是 $WLFI）转走，一点渣渣都不剩，如果用户转入 ETH 当… https://t.co/YyVvMPwaGM

— Cos(余弦)😶‍🌫️ (@evilcos) September 1, 2025

이용자가 가스비를 위해 ETH를 송금하거나 WLFI 같은 ERC-20 토큰을 받을 때 악의적 컨트랙트가 모든 자금을 공격자 통제 주소로 전송해 지갑을 영구적으로 장악한다.

이번 취약점은 EIP-7702의 설계 구조에서 유래한다. 해당 업데이트는 외부 지갑(EOA)이 임시적으로 위임 스마트 컨트랙트의 실행 로직을 빌릴 수 있도록 지원한다.

공격자는 DELEGATECALL 함수를 이용해 악의적 코드를 피해자의 지갑으로 실행하는 위임 컨트랙트를 설치하는 방식으로 보안 취약점을 이용하고 있으며 이로써 지갑의 자산을 완전히 장악하고 있다.

이더리움의 계정 추상화 꿈, 한 순간에 악몽으로

EIP-7702는 외부 지갑이 컨트랙트 지갑처럼 스마트 컨트랙트를 실행할 수 있도록 지원해 사용자 경험을 개선하는 목적을 가졌다.

해당 업그레이드는 번들 거래를 통해 가스비를 줄이고 이더리움이 아닌 다른 암호화폐로 거래를 처리할 수 있도록 지원해 원활한 웹3 채택이라는 비탈릭 부테린의 비전을 구현하기 위해 도입되었다.

그러나 프라이빗키 유출과 결합시 중대한 보안 위험성이 나타나게 되었다.

공격자들은 미리 악의적 위임 주소를 설치한 후 DELEGATECALL 함수를 통해 지갑의 통제권을 완전히 획득해 결국 피해자의 이더리움 지갑을 공격자 통제 스마트 컨트랙트로 만들고 있다. 몇 가지 공격 사례로 지난 8월 154만 달러의 피해가 발생한 피싱 공격이 있다. 당시 피해자들은 악의적 코드가 포함되어있던 배치 거래에 서명했다. 인페르노 드레이너의 14만 6,000달러 메타마스크 지갑 탈취 공격 역시 악의적 위임 계약 승인이 원인이었다.

🚨 ALERT: An address upgraded to EIP-7702 lost $146,551 through malicious batched transactions in phishing attack. pic.twitter.com/7GbamqOZVI

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) May 24, 2025

인페르노 드레이너는 이용자가 공격자 통제 위임 컨트랙트에 서명하도록 유도해 2025년에 복수의 체인에 걸쳐 총 900만 달러 이상을 탈취했다.

6월에 윈터뮤트 연구 팀은 자동 스위퍼 컨트랙트 계정이 EIP-7702 위임의 대부분을 차지해 이더리움 이용자에게 시스템적 위협으로 작용하고 있다고 공개했다.

윈터뮤트는 이에 대응해 크라임엔조이어(CimeEnoyor)를 개발했다. 이 도구는 검증을 마친 악의적 컨트랙트에 “나쁜 놈들이 자동으로 입금되는 모든 ETH를 탈취한다”는 경고 메시지를 주입한다.

빈틈 있는 업그레이드로 여러 공격 방식 등장

월드리버티파이낸셜 토큰 탈취 외에도 EIP-7702 업그레이드는 다양한 취약점을 겨냥한 여러 공격 방식이 등장하는 결과로 이어졌다.

신뢰도 높은 디파이 플랫폼을 가장해 이용자가 위험한 배치 거래나 위임 승인에 서명하도록 유도하는 피싱 공격이 있으며 이 경우 승인 직후 자금을 모두 도난당할 수 있다.

오프체인 서명 공격은 이번 취약점과 관련해 특히나 큰 위협으로 작용한다. 해커들이 온체인 거래 대신 서명 메시지를 통해 지갑에 원격으로 악의적 코드를 설치할 수 있기 때문이다.

이러한 공격 방식은 서명만으로 지갑의 완전한 장악을 가능하게 만들어 전통 보안 도구의 감시망을 피할 수 있다.

플래시론 및 재진입 공격 역시 EIP-7702 기능을 이용해 온체인 보안 로직을 우회하고 있으며 이로 인해 디파이 프로토콜의 시세 조작 공격을 자행하고 있다.

최근의 컨트랙트 공격은 악의적 위임 승인을 통해 주요 디파이 프로젝트에서 100만 달러 가까이 탈취했다.

보안 공격의 기술적 원인은 EIP-7702의 위임 메커니즘과 피해자의 지갑 컨텍스트에서 실행되는 DELEGATECALL 함수에 있다.

피싱 공격 혹은 다른 방식을 통해 프라이빗키가 유출되면 공격자가 악의적 위힘 계약을 설치해 자동으로 지갑에 유입되는 모든 자금을 탈취할 수 있다.

⚠️ Crypto market maker @wintermute_t has developed a tool that injects on-chain warnings into malicious wallet-draining contracts to alert users.#Ethereum #ETHhttps://t.co/5NPLiyy4K8

— Cryptonews.com (@cryptonews) June 2, 2025

보안 전문가들은 이용자들에게 의심스러운 위임 요청을 피하고 모든 거래 허가권을 검증하며 가능한 악의적 위임 컨트랙트를 취소할 것을 권장했다.

그러나 외부 지갑의 거래를 위임할 수 있도록 하는 근본적 설계 구조가 계속해서 공격 지점으로 활용되고 있다.

이더리움 펙트라 업그레이드는 검증자 스테이킹 한도를 32 ETH에서 2,048 ETH로 올리고 자동 복리 기능을 도입해 보수적 기관 투자금 유입을 도모했다.

해당 업그레이드가 거래 비용을 줄이고 사용자 경험을 개선하는 목적을 가진 것은 맞지만 보안 측면에서의 단점이 혜택을 압도하고 있다. 공격자들은 빠른 속도로 새로운 공격 방식을 활용해 이용자의 자산을 탈취하고 있어 웹3 이용자의 주의가 특별히 필요하다.