IPOR Labs가 이더리움 확장 네트워크 아비트럼에서 운영하던 USDC 퓨전 옵티마이저 금고가 해킹당해 약 33만6,000달러, 한화로 약 4억8,644만 원 상당의 손실을 입었다. 이번 사건은 구형 스마트 계약의 보안 결함과 이더리움에서 새로 도입된 EIP-7702 위임 실행 기능을 결합하여 발생한 것으로 확인되었다.

사건은 1월 6일 블록체인 보안 업체 헥사가이트와 블록에이드가 의심스러운 거래를 감지하면서 시작됐다. 내부 조사 결과, IPOR Labs는 '퓨즈(fuse)' 설정을 악용한 공격 거래로 인해 금고에서 불법 자금 이탈이 일어났음을 밝혀냈다. 해커는 탈취한 자산을 이더리움 메인넷으로 이동한 후, 자금 세탁 목적으로 사용되는 프라이버시 믹싱 서비스인 토네이도캐시로 송금했다. 보안 업체 서틱은 이 흐름을 추적해 약 33만 달러가 믹싱된 정황을 발견했다.

이번 해킹은 두 가지 주요 요소의 조합에 의해 발생했다. 첫째, 피해를 입은 금고는 490일 전에 구축된 첫 번째 버전으로, '퓨즈'라는 계약 모듈의 진위 검증 절차가 누락된 상태였다. 이로 인해 공격자는 관리자만 접근할 수 있는 설정 권한을 가로채고, 악의적인 퓨즈를 삽입할 수 있었다. 둘째, 최근 이더리움의 '펙트라(Pectra)' 업그레이드의 일환으로 도입된 EIP-7702 위임 기능이 해커에게 결정적인 통로가 되었다. 해커는 이 기능을 사용해 관리자 계정을 가장하여 '임의 호출(arbitrary call)' 기능이 포함된 위임 계약을 작동시켰고, 이를 통해 금고의 출금 함수를 직접 호출하여 자금을 자신의 지갑으로 이체하는 신속한 작업을 수행하였다.

IPOR 측은 공격이 금고의 순간 출금 기능이 실행되는 시점에 발생했으며, 이전의 보안 감지 시스템이 이를 실시간으로 차단하지 못했다고 전했다. 그러나 IPOR는 새로운 버전의 금고에는 모든 보완 조치를 마련했으며, 이미 도입된 퓨즈 검증 체계로 인해 동일한 방식의 공격이 다시는 발생하지 않을 것이라고 강조했다.

IPOR DAO는 피해 금액인 33만6,000달러를 지급할 예정이며, 이는 전체 퓨전 플랫폼 자금의 1% 미만에 불과하다. 현재 IPOR는 보안 회사 SEAL과 협력하여 자금의 흐름을 추적하고 있으며, 거래소와의 협력을 통해 도난 자산을 회수하는 작업을 진행 중이다.

암호화폐 해킹 사건은 전체적으로 감소세를 보였다가 2026년 1월부터 다시 급증하고 있는 상황이다. 이는 다양한 유형의 공격이 계속해서 발생하고 있음을 시사한다. 전문가들은 코드 보안이 점차 강화되고 있음을 인정하면서도, 사람의 실수와 운영 보안이 새로운 약점으로 떠오르고 있다고 경고하고 있다. 보안 플랫폼 이뮤니파이의 미첼 아마도르는 "코드는 안전해지고 있지만, 안전한 관리와 사용자 행동이 새로운 공격의 초점이되고 있다"고 말하였다.