사건 개요
- 2024년 7월 12일 오후 1시 5분(한국시간), Arcadia 파이낸스의 디파이(DeFi) 플랫폼이 운영되는 Base 블록체인 네트워크에서 해킹 발생.
- 공격자는 ‘Rebalancer 컨트랙트’의 취약점을 악용해, 임의의 swapData 파라미터를 조작하여 허가되지 않은 대규모 자산 인출을 실행.
- 탈취된 자산은 WETH로 변환된 후 Base 체인에서 이더리움 메인넷으로 브릿지 이전, 이후 여러 지갑 주소로 분산되어 흔적을 은폐 시도.
피해 규모
- 총 피해액 약 250만 달러(한화 약 34억 7,500만 원).
- 탈취 자산 구성:
- USDC 약 230만 달러 (약 31.9억 원)
- USDS 약 22만 7천 달러 (약 3.1억 원)
- 199 WETH, 약 9.6억 개의 AERO 토큰 확보
- 피해자는 총 12개 이용자 지갑으로 확인됨.
- 도난 자산은 탈중앙화 거래소(DEX) 및 믹싱 서비스를 통한 자금 세탁 시도가 의심됨.
사고 원인
- Arcadia의 핵심 계약인 ‘Rebalancer 스마트 컨트랙트’의 코드 취약점을 노린 공격.
- 악성 스마트 계약 배포 후 단 1분 만에 해킹 실행, 보안 대응이 사실상 불가능할 정도로 빠르게 진행됨.
- 보안업체 Cyvers는 관련 주소들을 Base 및 이더리움 메인넷에서 블랙리스트 등록할 것을 권고하고, 거래소 및 브릿지 서비스에 입출금 차단 요청.
- Arcadia는 공격 사실을 인정하고, 이용자들에게 리밸런서 권한 철회를 요청함.
'정보보안 > 사건사고' 카테고리의 다른 글
| 2025.7.16 암호화폐 거래소 빅원(BigONE) 해킹으로 비트코인, 이더리움 탈취 (0) | 2025.07.17 |
|---|---|
| 2025.7.16 청주랜드 어린이체험관 홈페이지 개인정보 유출 (0) | 2025.07.17 |
| 2025.7.15 한독헬스케어의 건강기능식품 쇼핑몰 ‘일상건강’ 개인정보 유출 (1) | 2025.07.17 |
| 2025.7.15 SGI 서울보증보험 랜섬웨어 (2) | 2025.07.17 |
| 2025.7.11 맥도날드 AI 채용 플랫폼 보안 허점으로 인한 6400만 지원자 정보 유출 (2) | 2025.07.11 |