코인베이스, 스마트 계약 오류로 30만달러 토큰 수수료 손실

코인베이스(COIN)가 0x 프로젝트 스마트 계약 관련 심각한 오류로 약 30만 달러의 토큰 수수료를 손실했다고 밝혔다. 벤 네트워크의 보안 연구원 디비즈는 수요일 이 문제를 발견했다. 그는 코인베이스의 기업 지갑이 0x '스와퍼' 계약에 토큰을 승인했다고 지적했다. 이 계약은 스왑 실행만을 위해 설계된 무허가 도구로, 토큰 승인을 받도록 설계되지 않았다.

이러한 유형의 계약에 토큰을 승인하는 것은 누구나 자산 이전을 포함한 작업을 실행할 수 있어 위험하다. 이번 사례에서는 이러한 실수로 인해 MEV(최대 추출 가능 가치) 봇이 승인된 토큰을 거의 즉시 빼돌릴 수 있었다. 디비즈는 이번 사건을 계약 코드의 취약점을 악용하지 않고도 유사한 권한이 남용된 과거 사례들과 연관 지었다.

MEV 봇의 즉각적인 공격

승인이 이루어지자마자 MEV 봇이 신속하게 대응했다. 봇은 스와퍼 계약을 호출하여 코인베이스의 수수료 수취 계정에서 자신의 지갑으로 토큰을 이전했다. 디비즈가 공유한 스크린샷에 따르면 Amp, MyOneProtocol, DEXTools, Swell Network 등 여러 토큰에 대한 승인이 이루어졌다.

연구원은 이번 사건을 코인베이스에게 '값비싼 교훈'이라고 표현하며, 봇이 이러한 기회를 기다리고 있었다고 설명했다. 그는 "코인베이스 덕분에 그들의 꿈이 실현됐다"고 말했다. 이번 이전으로 계정의 모든 토큰이 한 번에 빠져나갔다.

코인베이스의 대응

코인베이스의 필립 마틴 최고보안책임자(CSO)는 손실을 확인하고 이를 회사의 기업용 DEX 지갑 중 하나의 설정 변경으로 인한 '단발성 문제'라고 설명했다. 그는 고객 자금은 영향을 받지 않았다고 강조했다. 코인베이스는 신속하게 토큰 허용을 취소하고 남은 기업 자금을 새 지갑으로 이전했다.

손실액이 코인베이스의 전체 보유액에 비해 상대적으로 적은 규모였지만, 이번 사건은 자동화된 봇이 사소한 운영상의 오류조차도 얼마나 빠르게 악용할 수 있는지를 보여준다. 또한 무허가 스마트 계약과 상호작용할 때 엄격한 승인 통제의 중요성을 강조한다.

MEV 악용 사례 증가

MEV 봇이 대규모 손실의 중심에 선 것은 이번이 처음이 아니다. 지난 4월에는 한 봇이 접근 제어 시스템의 결함이 악용되어 18만 달러의 이더를 손실했다. 2023년 또 다른 주목할 만한 사례에서는 악의적인 검증자가 '샌드위치 거래'를 시도하던 MEV 봇들로부터 2,500만 달러를 탈취했다.

이러한 사건들은 MEV 봇이 블록체인의 비효율성을 이용하도록 설계되었지만, 그들 역시 쉽게 피해자가 될 수 있음을 보여준다. 상호작용이 신중하게 보호되지 않으면 순식간에 소유자에게 불리하게 작용할 수 있으며, 대부분의 경우 도난당한 자금을 회수할 기회도 없다.

코인베이스 주가 전망

30만 달러의 계약 오류는 후퇴였지만, 월가는 여전히 코인베이스 주식에 대해 긍정적이다. 최근 3개월간 30명의 애널리스트 데이터에 따르면 이 주식은 '매수' 14건, '보유' 14건, '매도' 2건으로 '적정 매수' 등급을 받았다.

12개월 COIN 주가 목표치는 367.25달러로, 최근 거래가 317.08달러 대비 약 15.8% 상승 여력이 있는 것으로 분석됐다.