TRU 프로토콜의 스마트컨트랙트 취약점이 악용돼 약 2,660만달러(약 388억 원) 규모의 이더리움이 유출됐고, TRU 토큰은 하루 만에 99% 이상 폭락했다.

TRU 토큰, 스마트컨트랙트 해킹에 하루 새 99% 폭락…2,660만달러 이더리움 유출 / TokenPost.ai

이더리움 스마트컨트랙트 해킹에 TRU 토큰 99% 폭락…추적된 자금은 토네이도캐시로

이더리움 스마트컨트랙트의 취약점을 악용한 공격으로 트루빗(TRU) 프로토콜에서 약 1,457억 원 규모의 이더리움이 유출됐다. 해킹 사실이 공개되자 TRU 토큰은 하루 만에 99% 이상 폭락하며 사실상 ‘휴지조각’으로 전락했다.

트루빗은 공격이 발생한 스마트컨트랙트 주소를 공개하고, 현재 향후 대응을 위해 법 집행기관과 협력 중이라고 밝혔다. 이번 사건은 ‘악의적인 행위자 한 명 혹은 여러 명’이 관련된 보안 사고로, 공격자는 가격 계산 오류를 노리고 대량의 토큰을 사실상 ‘공짜’로 발행한 뒤 이를 바탕으로 보유 중인 이더리움 준비금을 탈취했다는 분석이 나온다.

공격자, 무료 발행 로직 악용해 이더리움 대량 탈취

문제는 트루빗의 ‘Truebit Protocol: Purchase’ 스마트컨트랙트에서 발생했다. 조사에 따르면 해당 컨트랙트의 ‘getPurchasePrice’ 함수에 가격 산정 로직 오류가 있었고, 이로 인해 특정 조건에서 토큰을 제로(0) 비용으로 발행할 수 있었다. 공격자는 이 취약점을 활용해 대량의 TRU 토큰을 무료로 찍어낸 뒤, 이를 매도해 준비금으로 보관 중이던 약 8,535 ETH를 탈취했다. 당시 기준 약 2,660만 달러(약 388억 원) 규모다.

거래 추적 결과, 공격자는 탈취한 자금을 ‘합산 주소’로 옮기고 상당 금액을 익명 믹싱 서비스인 토네이도캐시(Tornado Cash)를 통해 세탁한 것으로 나타났다. 이는 우발적인 해킹보다는 사전에 계획된 범죄 가능성을 strongly 뒷받침한다.

TRU 토큰 가치, 불과 몇 시간 만에 ‘제로’ 수준

TRU 토큰 가격은 해킹 소식이 알려지자 급락했다. 분석업체 넨센(Nansen)은 TRU 가격이 약 0.16달러(약 233원)에서 0.0000000029달러(약 0.000004원)까지 폭락했다고 밝혔다. 이는 하루 만에 99% 이상 하락한 수치다.

시장 참가자들은 이번 사태를 다른 스마트컨트랙트 기반 프로젝트들에도 영향을 줄 수 있는 ‘연쇄 실패’ 가능성의 예고편으로 보고 있다. 실제로 한 번의 결함이 신뢰와 유동성을 흔들며 전체 생태계에 파장을 일으킬 수 있다는 점에서 경고 신호로 작용한다는 분석이다.

전체 해킹 규모 줄었지만, 프로토콜 취약점은 여전

이번 사건은 최근 암호화폐 해킹 규모가 줄고 있는 추세 속에서도 프로토콜 자체 취약점은 여전히 위험 요소로 남아 있다는 점을 드러낸다. 보안업체 펙실드(PeckShield)에 따르면, 12월 한 달간 전체 암호화폐 해킹 피해 규모는 약 7,600만 달러(약 1,107억 원)로 11월의 1억 9,420만 달러(약 2,834억 원)보다 60% 줄었다. 그러나 이 중엔 멀티시그 지갑의 프라이빗키 유출로 발생한 약 2,730만 달러(약 398억 원) 규모 사건도 포함돼 있으며, 주소를 교묘히 바꿔치기해 피해자를 속인 ‘주소 중독(Address poisoning)’ 수법으로 약 5,000만 달러(약 729억 원)가 탈취되기도 했다.

트루빗은 아직 당시 어떤 방식으로 취약점이 발생했는지, 사용자 자산은 안전한지, 그리고 복구 방안은 무엇인지 등에 대해 구체적인 설명을 내놓지 않고 있다. 전문가들은 빠른 기술 분석과 커뮤니티 신뢰 회복이 지금으로선 가장 중요한 과제라고 지적한다.