아카디아 파이낸스 해킹, 이더리움 250만 달러 탈취

- 약 840 ETH 탈취, 크로스체인 전송… - 투자자 불안 가중, DeFi 취약점 논란… 15일(현지시각) 체이널리시스(Chainalysis)에 따르면, 유동성 관리 플랫폼 아카디아 파이낸스(Arcadia Finance)가 스마트 계약 취약점으로 인해 해킹을 당했다. 그 결과 약 250만 달러 상당의 암호화폐 자산을 탈취당했다. 이번 사건은 올해 DeFi 생태계 내에서 발생한 주요 보안 사고 중 하나로 기록됐다. 공격의 주요 원인은 아카디아 파이낸스 네트워크의 핵심 기능인 '리밸런서' 스마트 계약의 코드 취약점이다. 체이널리시스 보고서에 따르면, 해커는 계약 일부 기능에 매개변수 검증이 부재한 점을 악용했다. 이를 통해 악성 데이터를 주입해 사용자 자산을 무단으로 이체하는 방식으로 공격을 감행했다. 탈취된 자산은 약 230만 USDC와 22만7000 USDS로 확인됐다. 탈취 자산은 사건 발생 직후 빠르게 크로스체인 브릿지를 통해 이체됐다. 아카디아의 운영 네트워크인 베이스(Base)에서 이더리움 메인넷으로 옮겨진 것이다. 이후 해커는 토네이도 캐시(Tornado Cash)라는 암호화폐 믹싱 도구를 사용해 자산 경로를 숨기려 시도했다. 토네이도 캐시는 거래 내역 추적을 어렵게 하는 수법으로, 과거 여러 해킹 사건에서도 빈번히 사용됐다. 해킹은 상당히 치밀하고 신속하게 이뤄졌다. 보고서에 따르면 해커는 계약 배포 후 1분 만에 주요 공격을 완료했다. 공격 직후 아카디아 파이낸스는 즉시 긴급 대응 조치를 취했다. 긴급 공지를 통해 모든 관리자 권한을 철회하고 리밸런서를 비활성화했으며, 유동성 관련 모든 작업도 일시 중단했다. 아카디아 파이낸스는 "이번 사건의 재발 방지를 위해 보안 전문가, 법 집행 기관, 암호화폐 커뮤니티와 긴밀히 협력하고, 사용자 자산 복구를 최우선 과제로 삼고 있다"고 밝혔다. 또한, 해커에게 탈취 자산의 90%를 반환하면 법적 조치를 보류하겠다는 제안을 공개적으로 알렸다. 하지만 해커 측의 회신 여부는 아직 확인되지 않았다. 이번 사건은 아카디아 파이낸스의 두 번째 해킹 사고로 기록됐다. 지난 2023년 7월에도 약 45만5000 달러 상당의 자산이 스마트 계약 취약점을 통해 탈취됐다. 이처럼 반복된 보안 사고는 DeFi 생태계 전반의 보안 문제를 다시 한번 환기시킨다. 그리고 투자자들 사이에서 불안을 증폭시키고 있다. 일각에서는 이러한 해킹 사건이 빈번히 발생하는 원인으로 '스마트 계약 검증 부족'과 '크로스체인 브릿징의 보안 취약점'을 지적한다. 따라서 플랫폼별 보안 규약 강화가 시급하다고 강조한다. 한편, 올해 7월15일(UTC) 20시 09분 기준, 주요 탈취 자산 중 하나인 USDC는 24시간 동안 0.022% 소폭 상승해 1달러의 가격을 유지했다. 이더리움(ETH)은 같은 시간대 1.431% 상승한 3034.31달러로 거래 중이다.