디파이(DeFi) 거래소 매차 메타(Matcha Meta)에서 발생한 해킹 사고로 인해 약 1,680만 달러(약 244억 원)의 암호화폐가 탈취되는 사건이 발생했다. 이번 해킹은 매차 메타의 핵심 인프라가 아닌 외부 유동성 공급자 스왑넷(SwapNet)과 관련된 것으로 나타났다.

사고의 원인은 매차 메타 사용자 중 일부가 ‘원타임 승인(One-Time Approval)’ 기능을 꺼 놓은 채 개별 애그리게이터 컨트랙트에 직접적으로 토큰 사용 권한을 부여했기 때문이다. 매차 메타는 25일 공식 X(옛 트위터) 채널을 통해 이러한 사실을 알리며, 해당 기능을 비활성화한 사용자들이 피해를 입었을 가능성이 높다고 경고했다. 현재 스왑넷 팀은 관련 스마트 계약을 임시 중단한 상태다.

해커는 단 10초 만에 1,680만 달러 상당의 자산을 탈취하고, 이를 이더리움으로 자금 세탁하는 시도를 감행했다. 블록체인 보안업체 펙쉴드(PeckShield)에 따르면, 해커는 먼저 베이스(Base) 네트워크에서 1,050만 달러(약 151억 원)의 USD코인(USDC)을 3,655 ETH로 교환한 후, 이를 이더리움 네트워크로 이전했다. 또 다른 보안 업체인 서틱(CertiK)은 사용된 지갑 주소 중 하나가 1,330만 달러(약 192억 원) 규모의 USDC를 인출한 사실을 보고했다. 이러한 공격은 스왑넷 계약에 존재한 '임의 호출 초과 권한' 취약점에서 비롯된 것으로 분석된다. 해커는 피해자들이 이전에 승인한 권한을 악용하여 자산을 탈취한 것이다.

매차 메타 측은 해커의 공격 경로가 자사의 원타임 승인 시스템이 아닌, 직접 승인을 선택한 사용자들을 겨냥한 것이라고 강조했다. 매차 메타의 원타임 승인 시스템은 0x 프로토콜의 ‘AllowanceHolder’와 ‘Settler’ 계약을 기반으로 하여 사용자가 일회성으로 소량의 거래 권한만 부여하도록 제한되고 있다. 따라서 프로토콜 팀은 사고 발생 이후 해당 시스템을 통해 거래한 사용자는 피해자가 아니라고 확인하며, 앞으로 매차 메타에서 직접 토큰 승인 옵션은 제거할 예정이라고 밝혔다.

이번 해킹 사건은 디파이 생태계의 지속적인 보안 허점을 드러내고 있다. 스마트 계약과 상호작용하기 위해 필수적인 ‘토큰 승인’ 기능은 사용자의 승인 범위가 장기간 유지될 경우 제3자에게 악용될 수 있는 위험이 지속적으로 제기되어왔다. 블록체인 보안업체 슬로우미스트(SlowMist)의 보고서에 따르면, 2025년까지 스마트 계약 취약점이 전체 암호화폐 해킹 피해의 약 30%를 차지하고 있으며, 이를 통해 디파이 프로젝트들의 보안 리스크는 더욱 높아질 것으로 보인다.

매차 메타 해킹 사건은 디파이에 참여하는 사용자들에게 기본 보안 설정의 중요성을 다시 한 번 일깨우는 중요한 사례로 남을 전망이다. 디파이의 자율성과 유연성이 강점으로 평가받고 있지만, 사용자 권한 설정 방식에 따른 보안 리스크는 향후에도 지속적으로 문제가 될 가능성이 높다. 최근에도 여러 디파이 프로젝트가 해킹 피해를 입어 암호화폐 시장에 큰 충격을 주었다.

디파이에서 자산을 안전하게 보호하기 위해서는 기본적인 보안 설정을 철저히 이해하고 적용하는 것이 필수적이다. 사용자는 자신의 지갑이 안전한지 확인하고, '지속적 승인'과 같은 보안 허점을 철저히 대비해야 할 필요가 있다.