Carbontec, 1인치 라우터의 구조 기능에서 $520,000 규모의 익스플로잇 경로 발견 - 디파이 보안의 체계적 맹점 드러나

• 1인치 라우터의 설계 오류가 초래한 자금 유출 사태
• 기술적 결함이 아닌 설계상의 트레이드오프
• 디파이 생태계 전반에 존재할 수 있는 체계적 문제
• BTCC 팀의 분석: 디파이 보안의 미래 과제
• 자주 묻는 질문

블록체인 보안 기업 Carbontec가 1인치 라우터 v4~v6에서 공개 함수를 통해 오송된 토큰이 조용히 인출될 수 있는 중대한 설계 결함을 발견했다. 이는 가장 널리 사용되는 디파이 프로토콜 중 하나에서 드러난 보안 맹점으로, 약 52만 달러 상당의 암호화폐가 위험에 노출된 사례다. 전문가들은 이 문제가 1인치에 국한되지 않고 전체 디파이 생태계의 체계적 문제일 수 있다고 경고한다.

1인치 라우터의 설계 오류가 초래한 자금 유출 사태

Carbontec의 조사에 따르면, 1인치의 Aggregation Router v6 스마트 계약에서 발견된 이 취약점은 계약 소유자뿐만 아니라 누구나 오송된 토큰을 인출할 수 있게 하는 설계상의 문제였다. 코인글래스 데이터를 참조하면, 이 결함으로 인해 약 4.2 WBTC(445만 달러 상당)를 포함해 총 52만 달러 규모의 자금이 라우터 버전 4, 5, 6에서 이동된 것으로 확인됐다.

기술적 결함이 아닌 설계상의 트레이드오프

흥미롭게도 이 문제는 단순한 코딩 버그가 아니라 가스 비용 절감을 위한 설계상의 선택으로 인한 것이었다. CARBontec의 CTO 미로슬라프 바릴은 "이는 사용자 행동을 과소평가하고 계약 안전성을 과대평가한 결과"라고 설명했다. 실제로 이 취약점은 공개적으로 접근 가능한 콜백 함수와 사용자 정의 스왑 풀을 허용하는 라우터 로직에서 비롯됐다.

디파이 생태계 전반에 존재할 수 있는 체계적 문제

바릴 CTO는 "이 문제는 1인치에만 국한되지 않는다"며 "오송된 토큰이 복구 불가능하거나 계약 소유자만 회수할 수 있다는 가정은 잘못된 안전감을 조성한다"고 지적했다. 트레이딩뷰 애널리스트에 따르면, 이번 사건은 디파이 프로토콜들이 오류 처리를 어떻게 하고 있는지, 그리고 실제로 누가 사용자 자금에 접근할 수 있는지에 대한 근본적인 질문을 제기한다.

BTCC 팀의 분석: 디파이 보안의 미래 과제

BTCC 연구팀은 이번 사건을 분석하며 "디파이 프로토콜들은 보안과 오용 방지 사이의 균형을 더 세심하게 고려해야 할 시점"이라고 강조했다. 특히 외부 계약 입력을 수용하거나 내부 스왑 콜백을 공개하는 다른 디파이 프로토콜들도 유사한 위험에 노출될 수 있다는 점에서, 이번 발견은 업계 전체에 중요한 경고로 받아들여지고 있다.

이 기사는 투자 조언을 구성하지 않습니다.

자주 묻는 질문

1인치 라우터에서 발견된 취약점의 정확한 성격은 무엇인가요?

이 취약점은 공개적으로 접근 가능한 콜백 함수를 통해 오송된 토큰이 인출될 수 있는 설계상의 문제로, 특별한 기술적 지식을 가진 누구나 이용할 수 있었습니다.

이 문제로 인해 얼마나 많은 자금이 위험에 처했나요?

약 4.2 WBTC(445만 달러 상당)를 포함해 총 52만 달러 상당의 암호화폐가 영향을 받은 것으로 확인되었습니다.

이 취약점은 1인치에만 해당되는 문제인가요?

CARbontec의 연구에 따르면, 외부 계약 입력을 수용하거나 내부 스왑 콜백을 공개하는 다른 디파이 프로토콜들도 유사한 위험에 노출될 가능성이 있습니다.