BNB체인 기반 DTXT/USDT 유동성 풀이 스마트컨트랙트 취약점을 악용한 공격을 받아 약 3만5000달러(환화 약 5430만 9500원) 규모의 손실을 입은 것으로 확인됐다.

블록체인 보안업체 펙실드(PeckShield)는 최근 모니터링 보고서를 통해 DTXT/USDT 거래쌍에서 약 3만5041 USDT 규모의 자금이 탈취되는 공격이 발생했다고 밝혔다.

이번 공격은 DTXT 토큰 스마트컨트랙트의 거래 유형 판별 로직에서 비롯된 것으로 분석된다. 해당 컨트랙트는 USDT 잔액과 거래쌍에 예치된 유동성을 비교해 매매 유형을 구분하는 구조를 사용하고 있었는데, 공격자는 이 점을 악용했다.

공격자는 먼저 거래쌍 주소로 소량의 USDT를 직접 전송해 컨트랙트가 거래 상황을 잘못 인식하도록 만들었다. 이후 대규모 DTXT 매도 거래를 실행했지만 시스템은 이를 일반적인 매도 행위가 아닌 유동성 공급 행위로 판단했다.

그 결과 원래 부과되어야 할 매도 수수료가 적용되지 않았고 공격자는 정상적인 거래 환경보다 유리한 조건에서 대량 거래를 진행할 수 있었다.

펙실드에 따르면 공격자는 디파이 대출 플랫폼인 물라(Moolah)에서 플래시론(Flash Loan)을 활용해 약 107만7400 USDT를 일시적으로 조달했다. 플래시론은 별도 담보 없이 한 번의 블록 내에서 대출과 상환이 동시에 이뤄지는 디파이 금융기법으로, 스마트컨트랙트 취약점 공격에 자주 활용된다.

공격자는 플래시론으로 확보한 대규모 자금을 이용해 DTXT 토큰 거래를 반복적으로 수행했고, 최종적으로 약 3만5000 USDT 상당의 이익을 챙긴 뒤 대출금을 상환한 것으로 나타났다.

업계에서는 이번 사건이 거래 유형을 단순 잔액 비교 방식으로 판단하는 스마트컨트랙트 설계의 위험성을 보여주는 사례라고 평가하고 있다. 특히 플래시론을 이용한 공격은 초기 자본 없이도 대규모 자금을 단기간에 동원할 수 있어 디파이 생태계의 대표적인 보안 위협으로 꼽힌다.

최근 블록체인 업계에서는 스마트컨트랙트 보안 감사 강화와 함께 거래 로직 검증 절차를 보다 엄격하게 적용해야 한다는 목소리가 커지고 있다. 이번 DTXT 사건 역시 작은 설계 오류가 실제 자산 손실로 이어질 수 있음을 보여준 사례로 기록될 전망이다.

박원빈 기자 wbpark@nanryna.kr