UPCX 인증 스마트 계약 해킹으로 7천만 달러 도난당하다
4월 1일에 발표된 보안 경보에 따르면 권한이 없는 단체가 오픈 소스 결제 플랫폼인 UPCX에서 약 7천만 달러의 디지털 자산을 인출했습니다.
여러 주요 사이버 범죄를 추적하고 폭로한 암호화폐 보안 업체 사이버스는 다음과 같은 사실을 확인했습니다.위반 1,840만 개의 UPC 토큰이 포함되었습니다.
사이버스는 공격자가 UPCX 주소에 액세스하여 ProxyAdmin 컨트랙트를 수정했다고 보고했습니다.
가해자는 관리 기능을 악용하여 3개의 별도 관리 계정에서 자금 인출을 시작했습니다.
여러 건의 의심스러운 거래가 기록되어 UPCX는 보안 침해 사실을 인정했지만, 보안 조치에 대한 세부 정보는 제한적으로만 제공했습니다.
UPCX는 구체적인 내용을 경시했지만, Cyvers의 조사 결과는 공격의 규모를 강조합니다.
오픈 소스 암호화폐 결제 시스템인 UPCX는 현재 신뢰도와 향후 운영에 영향을 미칠 수 있는 심각한 보안 위기에 직면해 있습니다.
여전히 자산을 장악하고 있는 해커
해커들은 현재 유통되는 것보다 더 많은 UPC 토큰을 훔쳤으며 아직 자산을 오프로드하지 않았습니다.
그들의 정체성과 전환을 위한 전략도난당한 자금 는 여전히 불분명합니다.
이 글을 쓰는 현재, 해당 토큰은 다른 암호화폐로 교환되지 않았습니다.
이 익스플로잇 이후 해커의 지갑은 7번째로 많은 UPC를 보유한 지갑이 되었습니다.
침해 발생 후 몇 시간,도난당한 모든 토큰이 지갑에 그대로 남아 있습니다. 유동성 및 거래 옵션이 제한되어 있기 때문일 수 있습니다.
지갑 자체는 새로 생성된 것으로, 본 공격이 발생하기 몇 분 전에 10개의 UPC를 테스트 거래한 것 외에는 이전 활동이 없었습니다.
특히 해커는 가스 요금으로 이더리움을 입금하지 않고 토큰 컨트랙트와 직접 상호작용하여 최소한의 비용과 중개 단계 없이 송금을 실행했습니다.
보안 침해 후 UPC 7% 하락, 소폭 회복세
UPCX는 관리 계정에서 '무단 활동'을 감지한 것을 확인했으며 이후 입출금을 중단했습니다.
팀은 사용자들의 자산이 영향을 받지 않았으며 침해 사고를 적극적으로 조사하고 있다고 밝혔습니다.
익스플로잇 이후, 탈취된 UPC 토큰은 단일 주소로 통합되었습니다.
UPC는 다음에서만 거래된다는 점을 감안할 때Gate.IO 및 MEXC의 경우 유동성 풀이 제한되어 있어 해커가 자산을 오프로드하는 능력이 제한될 수 있습니다.
이 사건으로 인해 UPC는 최고가 4.06달러에서 최저 3.77달러까지 7% 하락했다가 4.01달러로 소폭 회복하는 등 가격 하락을 촉발했습니다,코인마켓캡에 따르면
반복되는 공격 추세를 보여주는 UPC 해킹 사례
사이버스의 공동 창립자이자 CTO인 메이어 도레브는 공격의 근본 원인은 아직 조사 중이지만, 유사한 침해는 일반적으로 2024년 Web3 손실의 80% 이상을 차지한 요인인 손상된 자격 증명 또는 취약한 액세스 제어로 인해 발생한다고 말했습니다.
Dolev는 이렇게 말했습니다:
"이번 사건은 중요한 관리 역할에 대한 액세스가 악의적인 업그레이드와 자금 유출을 가능하게 했던 이전 익스플로잇에서 문서화된 공격 패턴을 반영합니다."
도레프는 이번 공격이 이전 익스플로잇에서 볼 수 있었던 패턴을 따르고 있다고 지적하며 더 강력한 지갑 권한, 다중 서명 보안, 실시간 거래 검증이 시급히 필요하다고 강조했습니다.
7천만 달러의 도난 피해는 지난 3월 암호화폐 해킹으로 인해 손실된 3,300만 달러의 두 배가 넘는 금액으로, 이러한 위협의 규모가 점점 더 커지고 있음을 보여줍니다.
해킹에도 불구하고 큰 소동은 일어나지 않았습니다.
2023년 말에 UPCX 개발이 시작되었지만, 중요한 활동은 2025년 초에야 시작되었습니다.
하지만 이 프로젝트는 다른 웹3.0 결제 플랫폼에 비해 상대적으로 잘 알려지지 않은 상태입니다.
7천만 달러 규모의위반 는 UPCX에 심각한 타격을 주었지만, 광범위한 시장 영향은 아직 불확실합니다.
역사상 가장 큰 규모의 암호화폐 해킹이 불과 한 달 전에 발생했으며, 그 여파는 여전히 진행 중입니다.
반면, UPCX는 마이너 업체로, X에 대한 침해 사실을 인정한 게시물의 조회수가 작성 시점에 12,000건을 겨우 넘겼습니다.
특히 해커의 지갑에는 아직 탈취한 UPC 토큰이 이동하지 않아 현금화 의도에 대한 의문이 제기되고 있습니다.
도난당한 금액이 유통 공급량의 거의 5배에 달한다는 점을 감안하면 청산을 시도할 경우 급격한 가격 폭락을 유발할 수 있습니다.
UPCX 침해는 그 규모가 크지만 상대적으로 시장 혼란이 크지 않다는 점에서 눈에 띕니다.
조사자가 공격자를 추적하고 자산을 동결할 수 있다면 피해를 막을 수 있습니다.
그렇지 않으면 청산이라는 다가오는 위협이 당분간 UPC의 회생에 부담을 줄 수 있습니다.