폴리마켓 해킹으로 300만 달러 탈취...전량 단일 이더리움(ETH) 지갑에 집결

크립토 뉴스

예측시장 플랫폼 폴리마켓이 목요일 약 300만 달러 규모의 사용자 자금을 탈취당했다. 공격자가 제3자 외부 업체를 침해한 뒤 플랫폼 프런트엔드에 악성 코드를 심은 것이 발단이었다. 본지가 사건 정황을 종합해 보면, 이번 사고는 폴리마켓 자체 스마트컨트랙트의 결함이 아니라 공급망 측 침해에 가깝다. 변조된 웹사이트가 사용자의 토큰 승인(approval) 요청을 조용히 우회시켰고, 그 사이 공격자는 이용자가 알아차리기 전에 지갑을 비웠다. 절도 정황을 가장 먼저 포착한 온체인 분석가는 다수 계정에서 최대 294만 달러가 빠져나간 것으로 추산했다. 기반 컨트랙트가 멀쩡해도 탈중앙 애플리케이션을 떠받치는 오프체인 프런트엔드 의존성은 여전히 취약한 표적임을 다시 한번 드러낸 사례다. 폴리마켓은 해당 공격 경로가 현재 차단됐다고 밝혔다.

폴리마켓은 공식 성명을 통해 침해 사실을 확인하고, 피해를 입은 모든 고객에게 전액을 보상하겠다고 약속했다. 회사는 악성 프런트엔드 코드를 격리·제거했으며, 침해의 진입점이 된 외부 업체(공개적으로는 명칭을 밝히지 않음)가 사고의 시발점이었다고 설명했다. 최신 공시 시점까지 탈취액 중 얼마를 회수할 수 있고 얼마를 자체 자금으로 메워야 하는지에 대한 수치는 공개되지 않았다. 이번 전액 환불 방침은 통상적인 자가수탁(self-custody) 손실 사고와 결을 달리한다. 제3자의 실패에 대한 책임을 떠안음으로써, 비수탁형 플랫폼이라면 대개 이용자에게 온전히 떠넘겼을 비용을 폴리마켓이 직접 흡수하고 있기 때문이다.

이번 침해는 두 달 새 발생한 폴리마켓의 두 번째 보안 사고이며, 프로토콜 취약점 공략이 아닌 사회공학적 공격이라는 반복되는 패턴에 들어맞는다. 지난 1년간 공격자들은 복제 사이트에서 사용자의 인증정보를 넘기도록 유도한 뒤, 수 분 만에 지갑을 비우는 수법을 거듭 구사해 왔다. 이달 초에도 한 트레이더가 가짜 폴리마켓 복제 사이트에 일회용 비밀번호(OTP)를 입력한 직후 200만 달러 이상을 잃었다. 공격자는 이를 통해 피해자의 이메일 연동 로그인 지갑을 탈취하고 곧바로 자금을 인출했다. 당시 엔지니어링 담당자들은 해당 손실이 폴리마켓 실제 운영 인프라의 결함이 아니라 사기 도메인에서 발생했다는 점을 강조했는데, 이번 주 외부 업체 침해 사고는 그 경계선을 한층 복잡하게 만든다.

자금의 이동 경로는 온체인 데이터가 분명히 보여준다. 공격자들은 폴리마켓의 달러 연동 스테이블코인이자 USDC로 담보되며 플랫폼 내 모든 거래 정산에 쓰이는 pUSD를 보유한 지갑들을 비운 뒤, 그 수익을 이더리움(ETH)으로 스왑했다. 환전된 자금은 단일 이더리움 주소로 통합됐고, 작성 시점 기준 해당 지갑에 그대로 머물러 있다. 블록체인 조사 인력은 영향을 받은 계정이 15개 미만으로 피해가 대체로 제한적이라고 판단했으나, 추가 거래가 추적되면 이 수치는 늘어날 수 있다. 탈취 자금을 하나의 온체인 지갑에 집중시키면 포렌식 업체로서는 자금 흐름을 추적하기는 쉬워지지만, 동결 조치는 오히려 까다로워진다.

폴리마켓 토큰 ‘POLY’ 에어드롭 가능성을 둘러싼 추측은 이용자를 노린 피싱 위협을 키우고 있다. 6월 25일 관측자들은 폴리마켓이 FAQ를 조용히 수정해, 자체 토큰이 없다는 기존 문구와 무상 배포 계획이 없다는 언급을 삭제했다고 지적했다. 회사의 한 마케팅 임원은 이미 2025년 10월 인터뷰에서 장기적 지속가능성을 갖춘 유틸리티 자산을 목표로 한다며 토큰 발행 의지를 시사한 바 있다. 이런 기대감에 트레이더들이 적격 요건을 노리고 전략을 조정하면서, 사기범들에게는 새로운 명분이 생겼다. 알트코인 배포가 임박해 보일 때 가짜 자격 확인 페이지와 위조 청구 사이트는 손쉬운 미끼가 된다.

폴리마켓 연관 인프라가 피해를 본 것은 이번이 처음이 아니다. 지난 5월에는 폴리곤(Polygon) 상의 UMA CTF 어댑터가 침해당했고, 조사진은 그 사고를 컨트랙트 버그가 아닌 배포자 키(deployer key) 탈취로 결론지었다. 배포자 키 사고, 복제 사이트 OTP 절도, 그리고 이번 주 외부 업체 침해를 한데 놓고 보면, 서로 다른 세 가지 진입점이 ‘탐지 전에 자금이 빠져나간다’는 동일한 결과로 귀결됐음을 알 수 있다. 세 사례를 관통하는 공통분모는 온체인 시장 자체의 무결성이 아니라 키 관리, 외부 업체 검증, 사용자 인증 등 운영·인적 계층의 보안이며, 기록된 세 건 모두에서 온체인 마켓 자체가 실패 지점이 된 적은 없었다.

본지의 판단으로는, 이번 폴리마켓 사례가 업계가 가장 과소평가해 온 위험, 즉 멀쩡한 컨트랙트를 둘러싼 오프체인 공격면을 적나라하게 드러낸다. COINOTAG의 종합 시장 데이터에 따르면 투자심리는 이미 취약하다. 공포·탐욕 지수는 100점 만점에 13으로 ‘극단적 공포’ 구간 깊숙이 자리하고, 비트코인 도미넌스는 70.2%까지 올랐으며, 전체 가상자산 시가총액은 약 1조 7,000억 달러 부근을 유지하며 자본이 안전 자산으로 회전하고 있음을 시사한다. 프런트엔드와 외부 업체 침해가 거듭될수록, 예측시장과 스테이블코인 인프라가 의존하는 바로 그 신뢰가 무너진다. pUSD에서 ETH로 바뀐 탈취 자금이 추적 가능한 단일 주소에 집결된 점은 조사진에 단서를 주지만, 자금 회수 여부는 아직 확인되지 않았다.