Back to Blog

주간 Web3 보안 사고 요약 | 2026년 2월 16일 – 2월 22일

Code Auditing
February 25, 2026
6 min read

지난 한 주간(2026년 2월 16일~22일), BlockSec은 세 건의 공격 사고를 탐지 및 분석했으며, 총 추정 피해액은 약 $622만입니다. 아래 표는 각 사고를 요약한 것이며, 세부 분석은 이후 하위 섹션에서 제공됩니다.

날짜 사고 유형 추정 피해액
2026/02/16 Moonwell 사고 잘못된 설정 ~$178만
2026/02/19 PearlDriver 사고 산술 오버플로우 ~$40.3K
2026/02/21 IoTex 사고 키 탈취 ~$440만

1. Moonwell 사고

간략한 요약

2026년 2월 16일, Base 체인의 Moonwell 프로토콜이 오라클 잘못된 설정으로 인해 공격을 받아 약 $178만의 부실 채무가 발생했습니다. 이 문제는 MIP-X43 제안 실행 과정에서 발생하였으며, Base cbETH 오라클에 ETH/USD 가격을 반영한 복합 오라클 대신 cbETH/ETH 환율 피드가 잘못 지정되었습니다. 이로 인해 오라클이 cbETH 가격을 실제 시장 가치인 약 $2,200가 아닌 약 $1.12로 보고하게 되었습니다. 청산 봇은 즉시 이를 감지하여 최소한의 부채만 상환하면서 1,096.317 cbETH를 압류했고, 이후 한도가 축소되어 공격이 중단되었습니다.

배경

Moonwell은 여러 체인에서 운영되는 대출 프로토콜로, 2026년 2월 16일 MIP-X43이라는 제안을 실행했습니다. 이 제안은 MIP-X38에서 활성화된 초기 세 개의 피드를 넘어 Base와 Optimism의 모든 나머지 핵심 및 격리 시장에 Chainlink OEV(Oracle Extractable Value) 래퍼 컨트랙트를 적용하는 것을 목표로 했습니다. OEV 래퍼는 오라클 가격에 의존하는 청산 과정에서 프로토콜이 가치를 포착할 수 있도록 설계되었으며, 동시에 청산자에게 적절한 인센티브를 유지합니다.

취약점 분석

취약점은 ChainlinkOracleConfigs.sol 생성자의 설정 오류에서 비롯되었습니다. Base 체인의 cbETH에 대해 제안은 이 환율과 ETH/USD 가격을 결합하는 올바른 복합 오라클 대신, "cbETHETH_ORACLE"(cbETH/ETH 환율 피드)을 오라클로 설정했습니다. OEV 래퍼가 배포되어 ChainlinkOracle의 setFeed()를 통해 피드로 연결되자, 프로토콜은 원시 환율(cbETH/ETH ≈ 1.12)을 cbETH의 USD 가격으로 사용하기 시작했습니다. 이로 인해 보고된 가격(~$1.12)과 실제 시장 가치(~$2,200~$2,400) 사이에 큰 차이가 발생했으며, cbETH 담보가 약 2,200배 저평가되는 결과를 초래했습니다.

공격 분석

  1. 2026년 2월 16일 UTC+8 오전 2시 01분, MIP-X43 실행이 완료되어 Base 체인에서 잘못 설정된 cbETH 오라클이 활성화되었습니다.

  2. 프로토콜을 모니터링하던 청산 봇이 즉시 가격 불일치를 감지하고 cbETH [담보 포지션]에 대한 청산을 실행했습니다.

  1. 수 분 내에 청산자들이 1,096.31 cbETH를 압류하여 영향을 받은 마켓 전반에 걸쳐 약 $178만의 부실 채무가 발생했습니다.

결론

이 사고는 궁극적으로 Moonwell의 MIP-X43 배포 시 발생한 설정 오류로 인한 것으로, Base 체인 cbETH에 올바른 복합 오라클 대신 cbETH/ETH 환율 피드가 잘못 지정되었습니다. 이 잘못된 설정으로 인해 상당한 양의 cbETH 담보가 빠르게 소진되었습니다.

여러 오라클 피드를 관리하는 프로토콜의 경우, 각 자산이 의도한 가격 소스에 연결되어 있는지 확인하기 위한 철저한 배포 전 검증 절차를 수립하는 것이 중요합니다. 엄격한 검증은 이러한 고위험 잘못된 설정의 위험을 크게 줄일 수 있습니다.


2. PearlDriver 사고

간략한 요약

2026년 2월 19일, BSC에서 PearlDriver의 NLAMM 본딩 커브 컨트랙트가 공격을 받아 약 $40.3K의 피해가 발생했습니다. 근본 원인은 buy() 함수의 확인되지 않은 산술 오버플로우로, 공격자가 거의 무료에 가까운 비용으로 극도로 많은 양의 게임 토큰을 발행한 뒤 PearlDEX 유동성 풀에 덤핑할 수 있었습니다.

배경

PearlDriver는 토큰 발행을 위해 NLAMM(비선형 자동화 마켓 메이커) 본딩 커브를 활용합니다. 사용자는 buy() 함수를 통해 게임 자원 토큰을 구매할 수 있으며, 구매 스테이블코인 비용은 cost = amount * currentPrice 로 계산됩니다.

정상적인 조건에서 이 공식은 결제 금액이 구매 수량에 비례하도록 보장합니다. 본딩 커브는 더 많은 구매에는 더 많은 결제가 필요하다는 전제에 의존하여 가격 무결성을 유지하고 불균형적인 토큰 발행을 방지합니다.

취약점 분석

근본 원인은 스테이블코인 결제 계산의 산술 오버플로우였습니다. buy() 함수 전체가 unchecked 블록으로 감싸져 있어 Solidity의 내장 오버플로우 방지 기능이 비활성화되었습니다. 그 결과, 구매 비용을 계산하는 곱셈이 최대 정수 한도를 초과해도 되돌리지 않았습니다. 대신 값이 오버플로우되어 훨씬 작은 숫자로 감싸지면서 필요한 결제액이 대폭 감소했습니다.

결과적으로, 공격자는 거의 아무것도 지불하지 않고 엄청난 양의 토큰을 발행한 뒤 즉시 DEX 유동성 쌍에 덤핑하여 USDT를 탈취할 수 있었습니다.

공격 분석

단일 트랜잭션에서 공격자는 동일한 공격 패턴을 사용하여 다섯 가지 자산(IRON ORE, COAL, WOOD, SAND, CLAY)에 대해 취약한 buy() 함수를 악용했습니다. 첫 번째 자산을 예시로 살펴보겠습니다:

  1. 공격자는 buy()를 호출할 때 극도로 큰 구매 수량을 지정했습니다. 확인되지 않은 산술로 인해 amount * currentPrice 계산이 오버플로우되어 거의 0에 가까운 값으로 감싸졌고, 결제에는 0.0053 USDT(약 $0.01 미만)만 필요했습니다. 이 무시할 수 있는 비용에도 불구하고, 컨트랙트는 공격자에게 엄청난 양의 IRON ORE, 구체적으로 7.03 × 10⁵⁸개의 토큰을 발행했습니다.

  2. 공격자는 즉시 발행된 IRON ORE의 일부를 해당 PearlDEX 유동성 쌍으로 스왑하여 7,805.55 USDT(~$7,805.56)를 받았습니다.

동일한 오버플로우-덤핑 시퀀스가 나머지 네 가지 자산에도 실행되어 각 자산-USDT 쌍에서 유동성을 탈취하고 총 $40K 이상의 수익을 올렸습니다.

결론

이 사고는 NLAMM buy() 함수의 가격 책정 로직에서 확인되지 않은 산술로 인해 발생했습니다. 오버플로우 검사를 비활성화함으로써, 함수는 극단적인 입력 값이 결제 계산을 왜곡하여 본딩 커브 모델의 경제적 전제를 깨뜨리는 것을 허용했습니다.

확인되지 않은 산술이 엄격하게 통제된 시나리오에서는 적합할 수 있지만, 결제 금액을 직접 결정하는 금융 로직에서의 사용은 상당한 위험을 초래할 수 있습니다. 이러한 위험을 완화하기 위해 개발자는 모든 산술 연산을 신중하게 검토하고, 특히 가격 책정이나 전송에 영향을 미치는 코드 경로에서 Solidity 0.8+ 내장 오버플로우 검사를 비활성화할 때는 주의를 기울여야 합니다.


3. IoTex 사고

간략한 요약

2026년 2월 21일, Ethereum 검증자 소유자 키의 탈취로 인해 IoTeX의 ioTube 브릿지가 보안 침해를 당했습니다. 공격자는 Validator 컨트랙트의 소유권을 획득한 뒤 TokenSafeMintPool 컨트랙트를 장악하여 약 $440만 상당의 브릿지 준비금을 탈취하고 4억 개 이상의 CIOTX 토큰을 발행했습니다. 탈취된 준비금은 스왑되어 일부가 비트코인으로 브릿지되었습니다. 프로젝트에 따르면, 발행된 CIOTX 토큰 중 약 3억 5,500만 개는 영구적으로 잠기거나 동결되었습니다.

배경

침해된 ioTube는 IoTeX 레이어 1을 Ethereum 등 다른 네트워크와 연결하는 IoTeX의 크로스체인 브릿지 인프라입니다. Ethereum에서 브릿지 아키텍처는 크로스체인 정산 메시지를 검증하고 하위 발행 컨트랙트를 관리하는 Validator 컨트랙트(즉, TransferValidatorWithPayload)를 중심으로 구성됩니다. 여기에는 브릿지 준비 자산을 보유하는 TokenSafe와 CIOTX 등 특정 토큰에 대한 발행 권한을 보유하는 MintPool이 포함됩니다.

취약점 분석

근본 원인은 Validator 컨트랙트 소유자의 개인 키 탈취였습니다. 브릿지가 다중 서명이나 타임락 제어 없이 단일 EOA에 의존했기 때문에, 이 키를 보유하면 완전한 관리 권한이 부여되었습니다. 공격자는 컨트랙트의 upgrade() 함수를 사용하여 TokenSafeMintPool 컨트랙트의 소유권을 공격자가 제어하는 주소로 이전했습니다. 이를 통해 브릿지 준비 자산을 직접 인출하고 대량의 CIOTX를 무단으로 발행할 수 있었습니다.

공격 분석

  1. Ethereum에서 Validator 컨트랙트 소유자 키를 탈취하여 관리 권한을 획득했습니다.

  2. Validator 컨트랙트를 사용하여 TokenSafeMintPool 컨트랙트의 소유권을 이전했습니다.

  1. TokenSafe에서 약 $440만 상당의 준비 자산(USDC, USDT, WBTC, WETH, BUSD 등)을 탈취하고, MintPool을 통해 4억 개 이상의 CIOTX를 발행했습니다.

  2. 탈취한 준비 토큰을 스왑하고 다른 체인으로 브릿지했습니다.

결론

이 사고는 단일 장애점 키 탈취의 전형적인 사례입니다. Ethereum 측 브릿지의 전체 보안이 다중 서명 보호나 타임락 안전장치 없이 완전한 관리 권한을 가진 단일 EOA에 의존했습니다. EOA의 개인 키가 탈취되자 중요한 브릿지 구성 요소에 대한 제어권이 사실상 상실되었습니다.

이 사례는 중앙화된 관리 제어의 위험성을 부각시키며, 더 강력한 거버넌스 메커니즘을 통해 업그레이드 및 보관 권한을 분산하는 것이 중요함을 강조합니다.


BlockSec 소개

BlockSec은 풀스택 블록체인 보안 및 암호화폐 컴플라이언스 제공업체입니다. 저희는 고객이 코드 감사(스마트 컨트랙트, 블록체인 및 지갑 포함)를 수행하고, 실시간으로 공격을 차단하며, 사고를 분석하고, 불법 자금을 추적하며, 프로토콜 및 플랫폼의 전체 생명주기에 걸쳐 AML/CFT 의무를 이행할 수 있도록 제품과 서비스를 구축합니다.

BlockSec은 저명한 학술 컨퍼런스에 다수의 블록체인 보안 논문을 발표했으며, DeFi 애플리케이션의 여러 제로데이 공격을 보고했고, 다수의 해킹을 차단하여 2,000만 달러 이상을 구제했으며, 수십억 달러의 암호화폐를 보호했습니다.

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit