3년 전 종료된 아즈텍 연결 서비스, 210만 달러 해킹…관리권 소멸 ‘논란’

요약문: - 종료된 아즈텍랩스 연결 서비스의 영지식증명 검증 부실로 디파이 스마트컨트랙트에서 약 210만 달러 해킹 피해 발생 - 아즈텍랩스·아즈텍재단 모두 관리 권한 소멸로 복구 불가, 방치된 구형 디파이 계약 해킹 위험 재부각 리드문: 15일(현지시각) 크립토폴리탄(Cryptopolitan)과 디파이라마(DefiLlama) 등 복수 암호화폐 매체에 따르면, 3년 전 서비스 종료 후 관리 권한까지 소멸된 아즈텍랩스(Aztec Labs)의 연결 서비스 ‘아즈텍 커넥트’에서 핵심 구조적 증명 검증 부실과 패치 불가 문제를 노린 해킹으로 약 210만 달러 암호화폐가 전액 유출되는 사건이 발생했다. 본문: 15일(현지시각) 크립토폴리탄, 디파이라마, 블록섹(BlockSec) 등에 따르면 종료된 프라이버시 연결 서비스 ‘아즈텍 커넥트(Aztec Connect)’ 스마트컨트랙트에서 해커가 총 909 이더(ETH), 27만 다이(DAI), 167 wstETH 등 다양한 디지털 자산, 약 210만 달러 상당을 탈취했다. 사건 원인은 블록섹 Phalcon 분석 결과, 영지식증명(zk-proof) 데이터 일부 구간만 검증하는 구조적 취약점에 있었다. 공격자는 제출해야 할 증명 중 일부만 통과시킨 뒤, 뒷부분에 실제 명령을 숨기는 방식으로 자산을 임의 인출했다. 또 서티케(CertiK) 역시 15일(현지시각) 보고서를 통해 "해당 컨트랙트는 최소 검증만 이뤄지고 필수적으로 모든 데이터가 검토되지 않는 취약점이 있었다"고 분석했다. 더불어 오리지널 블록체인(L1) 결제 절차와 스마트컨트랙트 로직의 경계가 맞지 않았다. 이로 인해 전체 자산이 단일 공격에도 방치될 수밖에 없던 상황이 드러났다. 디파이라마는 "총 215만 달러치 아즈텍 커넥트 통합 자산이 해커에게 유출됐다"고 산출했다. 아즈텍랩스와 아즈텍재단(Aztec Foundation) 모두 15일(현지시각) 공식 채널을 통해 "2023년 3월 서비스 종료 시점에 모든 관리·업그레이드 권한을 영구 소멸했기 때문에, 현재 어느 주체도 스마트컨트랙트 패치·보호가 불가능하다"고 입장을 밝혔다. 실제로 극한의 프라이버시 설계를 위해 종료 시점에 모든 관리자 권한 자체를 파기했던 상황이, 복구·예방까지 불가피하게 막은 셈이 됐다. 이와 유사하게, 최근 그노시스 페이(Gnosis Pay), 테세라다오(TesseraDAO) 등 다른 디파이계약도 방치 상태에서 유사 해킹 피해가 잇따라 발생하고 있다. 디파이라마는 "2024년 6월 한 달간 구형 스마트컨트랙트 등 방치 계약 해킹 피해액이 4393만 달러를 넘어섰다"며, 구형 미패치 계약이 디파이 전반 보안 위협으로 떠오르고 있음을 지적했다. 결론: 이번 아즈텍 커넥트 해킹은 관리권 완전 소멸 이후 방치된 구형 디파이 서비스의 구조적 리스크가 현실화된 대표 사례다. 전문가들은 "앞으로 중단된 스마트컨트랙트의 안전관리에 대한 기준과, 지속 업데이트·모니터링이 디파이 생태계 필수 과제"임을 강조하고 있다.