미국 최대 암호화폐 거래소인 코인베이스($COIN)가 스마트컨트랙트 승인 실수로 약 30만 달러(한화 약 4억 1,700만 원)의 가치를 가진 토큰 수수료를 탈취당하는 사건이 발생했다. 이번 사고는 퍼미션리스(Permissionless) 방식으로 설계된 0x 프로젝트의 스왑퍼(Swapper) 계약을 잘못 다뤄 발생한 것으로, MEV(최대 추출 가치) 봇이 이 취약점을 악용하여 자금을 탈취했다.

보안 분석 기업 벤 네트워크의 연구원 디비즈(Deebeez)는 3일(현지시간) X 플랫폼을 통해 사건의 경위를 공개했다. 디비즈에 따르면, 코인베이스는 기업용 지갑을 통해 0x 프로젝트 스마트컨트랙트에 자산 승인 권한을 부여했으며, 이 스왑퍼는 본래 토큰의 교환을 위한 도구로 설계된 것이었으나, 일반적인 승인 기능은 전혀 반영되지 않았다.

퍼미션리스 방식의 스왑퍼는 누구나 자유롭게 호출할 수 있기 때문에, 토큰 승인 기능이 적용될 경우 즉각적으로 악의적인 행위자에게 노출될 위험을 지니고 있다. 디비즈는 "이 스왑퍼는 과거에도 베이스(Base) 체인에서 조라(Zora) 토큰 클레임과 관련하여 유사한 사고가 있었다"며 "이번에도 비슷한 형태의 무단 자금 이전이 발생했다"고 설명했다.

공개된 스크린샷에 의하면 코인베이스는 여러 토큰, 예를 들어 Amp, MyOneProtocol, DEXTools, Swell Network에 대해 수수료 수령 계정에서 승인을 진행한 바 있다. MEV 봇은 이 권한을 이용해 스왑퍼 계약을 호출하고, 곧바로 자금을 다른 주소로 전송하여 탈취를 완료했다.

이러한 실수는 스마트컨트랙트 보안에서 가장 기본적인 원칙들을 무시한 것으로 평가되고 있다. 누군가가 임의로 호출 가능한 컨트랙트에 승인 권한을 부여하는 것은 사실상 암호화폐를 타인에게 넘겨주는 것과 같다. 이에 대해 전문가들은 코인베이스와 같은 대형 기관이 이런 초보적인 실수를 저지른 것에 우려를 표시하며, 스마트컨트랙트 상호작용에 대한 보다 강력한 검증 절차의 필요성을 강조하고 있다.

결론적으로, 이 사고는 스마트컨트랙트의 보안성과 관련된 심각한 문제를 드러내며, 향후 암호화폐 거래소 및 관련 기업들이 이와 유사한 사고를 방지하기 위한 노력을 기울여야 한다는 점을 잘 보여주고 있다.