1inch 연계 리졸버 취약점 악용…587만 달러 탈취 - TokenPost

1인치(1inch)와 연계된 디파이(DeFi) 유동성 공급 구조에서 또다시 ‘대형 해킹’이 발생했다. 공격자는 ‘Trusted Volumes’ 리졸버(resolver) 계약의 취약점을 악용해 이더리움(WETH), 테더(USDT), 비트코인(WBTC), 유에스디코인(USDC) 등 약 587만 달러를 빼돌린 것으로 알려졌다.

블록체인 보안업체들에 따르면 이번 공격은 아직 진행 중일 가능성도 있어 추가 피해 우려가 커지고 있다. 디파이 시장 전반에 걸쳐 ‘토큰 승인’ 관리가 얼마나 취약한지 다시 드러난 사건이라는 평가가 나온다.

공격자는 기존 승인 권한을 악용했다

보안업체 블록에이드(Blockaid)는 공격자가 ‘Trusted Volumes’ 리졸버 계약의 공개 함수(public function)를 이용해 자신을 ‘Allowed Order Signer’로 등록했다고 밝혔다. 이후 과거에 이용자들이 미리 허용해 둔 토큰 승인 권한을 활용해 자금을 이동시켰다.

문제는 이용자가 별도의 새 거래를 승인하지 않아도 공격이 가능했다는 점이다. 한 번 설정된 토큰 승인 권한이 그대로 남아 있었고, 공격자는 이를 통해 지갑 안 자산에 접근할 수 있었다. 디파이에서 ‘무제한 승인’이 왜 위험한지 보여주는 전형적인 사례다.

블록에이드는 이번 익스플로잇이 지난 2025년 3월 발생한 1inch Fusion V1 공격과 연결됐을 가능성도 제기했다. 취약한 리졸버 계약과 유사한 공격자 지갑 패턴이 확인됐다는 설명이다.

이미 587만 달러 유출…피해 규모 확대 가능성도

블록체인 보안업체 펙실드(PeckShield)는 현재까지 공격자가 빼돌린 자산이 1,291.16 WETH, 20만6,282 USDT, 16.939 WBTC, 126만8,771 USDC에 달한다고 집계했다. 이를 합치면 약 587만 달러 규모다.

펙실드는 피해가 발생한 리졸버 계약과 지난 2025년 3월의 1inch Fusion V1 공격과 관련된 취약한 프록시(proxy)를 식별했다고 밝혔다. 보안업체들은 두 사건 사이의 유사성이 뚜렷하다고 보고 있다.

디파이 해킹, 2026년 들어 더 거세졌다

이번 ‘Trusted Volumes’ 익스플로잇은 최근 한 달 사이 발생한 다섯 번째 대형 디파이 해킹으로 전해졌다. 디파이 플랫폼에 대한 공격이 잇따르면서 시장의 불안도 다시 커지고 있다.

최근에는 드리프트 프로토콜(Drift Protocol)을 겨냥한 2억8,500만 달러 규모의 공격, 켈프 DAO(Kelp DAO) 관련 2억9,300만 달러 규모의 사고도 보고됐다. 디파이라고 해서 자동으로 안전한 것은 아니라는 점이 반복해서 확인되고 있다.

디파이라마(DefiLlama) 집계에 따르면 2026년 4월 탈취된 가상자산 규모는 약 6억3,520만 달러로 급증해, 대규모 해킹이 발생했던 2025년 바이비트(Bybit) 사건 이후 가장 높은 수준을 기록했다. 디파이 보안 이슈가 다시 시장의 핵심 변수로 떠오르고 있다.

---

💡 자주 묻는 질문 (FAQ)

Q. 이번 1inch 해킹의 핵심 원인은 무엇인가요?

이번 사건은 스마트 계약의 공개 함수 취약점과 사용자들이 과거에 승인해둔 토큰 권한이 결합되면서 발생했습니다. 새로운 승인 없이도 기존 권한만으로 자산이 이동될 수 있었다는 점이 핵심 문제입니다.

Q. 일반 사용자도 피해를 입을 수 있나요?

네, 특정 프로토콜에 토큰 승인을 해둔 사용자라면 잠재적으로 영향을 받을 수 있습니다. 특히 무제한 승인을 유지한 경우 공격 대상이 될 가능성이 더 높습니다.

Q. 이런 해킹을 예방하려면 어떻게 해야 하나요?

주기적으로 불필요한 토큰 승인 권한을 철회하고, 사용하는 프로토콜의 보안 감사 여부를 확인하는 것이 중요합니다. 또한 자산을 하나의 지갑에 집중시키기보다 분산 보관하는 것도 리스크를 줄이는 방법입니다.