지난 한 주(2026/05/11 - 2026/05/17) 동안, BlockSec은 여러 블록체인 생태계에서 다수의 공격 사건을 탐지했습니다. 아래 표는 총 약 $4.72M의 손실이 추정되는 주목할 만한 3건의 사건을 정리한 것입니다.
| 날짜 | 사건 | 유형 | 추정 손실 |
|---|---|---|---|
| 2026/05/12 | Transit Finance 사건 | 임의 호출(Arbitrary Call) | ~$1.88M |
| 2026/05/12 | TAC 사건 | 부적절한 유효성 검사(Improper Validation) | ~$2.8M |
| 2026/05/13 | Boost Hook 사건 | 결함 있는 비즈니스 로직(Flawed Business Logic) | ~$46.75K |
세 가지 사건을 심층 분석을 위해 선정하였습니다:
- Transit Finance: 2022년부터 사용 중단된 것으로 알려진 레거시 스왑 브리지 컨트랙트가 임의 calldata 전달을 통해 악용되었으며,
USDT승인을 해제하지 않은 사용자들의 자산이 탈취되었습니다. - TAC: 이번 주 최대 손실 사건(~$2.8M)으로, TON 측 젯톤 예치 흐름에서 정규 지갑 검증이 누락되어 가짜 예치 알림으로 TAC EVM에서 크로스체인 민팅이 트리거될 수 있었습니다.
- Boost Hook: Uniswap V4 훅 기반 무기한 선물 프로토콜이 현물 가격 조작을 통해 공격받았으며, 레버리지 포지션의 진입 가격으로
slot0가격을 사용하는 것의 위험성을 보여줍니다.
Best Security Auditor for Web3
Validate design, code, and business logic before launch
주간 하이라이트: Transit Finance
이 사건은 사용 중단된 스마트 컨트랙트에 남아 있는 토큰 승인이라는 지속적인 위험 패턴을 보여주기 때문에 선정되었습니다. 프로토콜이 컨트랙트를 더 이상 사용하지 않는다고 판단하더라도, 승인을 해제하지 않은 사용자들은 무기한으로 위험에 노출되어 있으며, 이는 레거시 인프라를 잠재적인 공격 표면으로 만듭니다.
2026년 5월 12일, 크로스체인 스왑 및 브리지 집계 프로토콜인 Transit Finance가 TRON에서 약 $1.88M의 피해를 입는 공격을 받았습니다 [1]. 공격자는 레거시 TransitMixSwapBridge 컨트랙트의 임의 calldata 실행 경로를 악용하여, Transit의 승인 컨트랙트에 무제한 USDT 승인을 부여했던 사용자들을 대상으로 USDT.transferFrom()을 호출했습니다. 해당 컨트랙트는 2022년부터 사용 중단된 것으로 알려졌음에도 불구하고, 승인 관계는 여전히 활성화되어 있어 악용이 가능했습니다.
배경
Transit Finance는 TRON을 포함한 여러 블록체인에서 사용자가 자산을 스왑하고 전송할 수 있도록 지원하는 크로스체인 스왑 및 브리지 집계 프로토콜입니다. 프로토콜의 TRON 배포에는 내부 프록시 및 승인 파이프라인을 통해 스왑 및 브리지 실행을 라우팅하는 TransitMixSwapBridge 컨트랙트가 포함되어 있었습니다.
취약점 분석
버그가 있는 TransitMixSwapBridge 컨트랙트(TUfPjK...Ukbc4)는 임의 calldata 전달 기능을 노출하고 있었습니다: 공격자가 제어하는 calldata가 충분한 유효성 검사 없이 Transit의 내부 실행 체인을 통해 전달될 수 있었습니다. 이를 통해 공격자는 사용자들이 승인을 부여한 Transit의 승인 컨트랙트(TransitApproveGovernanceTron)를 통해 USDT.transferFrom() 호출을 유발하는 페이로드를 구성할 수 있었습니다.
핵심 결함은 실행 경로가 전달된 호출의 대상이나 calldata에 대한 제한을 수행하지 않아, 승인 컨트랙트의 권한으로 임의의 외부 호출이 실행될 수 있었다는 점입니다.
공격 분석
아래 분석은 트랜잭션 3a981b83...ce918ac2를 기반으로 합니다.
-
1단계: 공격자는 조작된 calldata로
TransitMixSwapBridge컨트랙트를 호출했습니다. calldata는 Transit의 프록시 및 브리지 실행 파이프라인을 통해 승인 컨트랙트로 전달되었습니다. -
2단계: Transit의 승인 컨트랙트(
TransitApproveGovernanceTron)가 공격자가 제어하는USDT.transferFrom()호출을 실행했습니다. 사용자들이 이전에 이 승인 컨트랙트에 무제한USDT허용량을 부여했기 때문에 호출이 성공했습니다. -
3단계:
USDT가 피해자 지갑에서 공격자가 제어하는 주소로 직접 이체되어 총 약 $1.88M의 피해가 발생했습니다.

결론
이 사건은 레거시 TransitMixSwapBridge 컨트랙트의 임의 calldata 실행 취약점과 지속적인 무제한 토큰 승인이 결합되어 발생했습니다. 해당 컨트랙트는 2022년부터 사용 중단된 것으로 알려졌음에도 불구하고, 승인 관계는 여전히 활성화되어 악용 가능한 상태였습니다. 핵심 교훈은 다음과 같습니다: (1) 사용 중단된 컨트랙트는 보유한 승인 권한을 포함하여 완전히 폐기되어야 합니다, (2) 임의 calldata 전달 경로는 대상 주소와 함수 선택자 모두를 검증해야 합니다, (3) 사용자들은 특히 사용 중단된 프로토콜에 대한 불필요한 토큰 승인을 정기적으로 감사하고 해제해야 합니다.
참고 자료
이번 주 추가 사건
TAC
2026년 5월 12일, TON에 EVM 호환 실행 환경을 확장하는 브리지 프로토콜인 TAC가 약 $2.8M의 피해를 입는 공격을 받았습니다 [1]. 근본 원인은 TON 측 젯톤 예치 흐름에서 정규 지갑 검증이 누락된 것입니다: TAC JettonProxy가 공식 젯톤 마스터에 의해 파생된 정규 지갑과 발신자가 일치하는지 검증하지 않고 비정규 젯톤 지갑으로부터 JettonNotify를 수락했습니다. 이로 인해 공격자가 유효한 크로스체인 메시지를 트리거하고 TAC EVM에서 매핑된 자산을 민팅하는 가짜 예치 알림을 제출할 수 있었습니다.
배경
TON은 기본적으로 EVM과 호환되지 않아 이더리움 방식의 DeFi 애플리케이션에 대한 직접 접근이 제한됩니다. TAC는 TON에서 발생하는 자산과 메시지를 EVM 호환 환경에서 처리할 수 있는 브리지를 제공하여 TON을 확장합니다. 이 설계에서 TON 측 토큰 예치는 크로스체인 메시지로 변환되어 TAC EVM에서 매핑된 자산으로 민팅됩니다.
취약점 분석
버그가 있는 TAC JettonProxy 컨트랙트는 EQAChA...xMdw에 배포되어 있습니다.
취약점은 TON 측 토큰 수신 경로에서 정규 지갑 검증이 누락된 것입니다. TAC JettonProxy는 msg.sender가 청구된 소유자에 대해 공식 젯톤 마스터가 파생한 정규 젯톤 지갑인지 검증하지 않고 JettonNotify 메시지를 수락했습니다. 이 때문에 비정규 지갑이 가짜 JettonNotify를 보내도 합법적인 예치로 처리되어 유효한 TVM-to-EVM 크로스체인 메시지를 트리거할 수 있었습니다.
공격 분석
아래 분석은 트랜잭션 549807fd...3757e1 및 0x0942a5...0dad224d를 기반으로 합니다.
- 1단계: 공격자는 지갑과 유사한 컨트랙트를 배포하고 이를 사용하여
TAC JettonProxy에JettonNotify를 전송했습니다. 페이로드는 토큰 이체를 주장하고 크로스체인 실행 데이터를 포함하는forward_payload를 포함했습니다.

- 2단계:
TAC JettonProxy는 알림을 수락하고 TAC CCL에 다운스트림 크로스체인 메시지를 내보냈습니다. 발신자 지갑은 관련 소유자에 대해 공식USD₮(TON의 USDT) 마스터가 파생한 정규 지갑이 아니었음에도 불구하고, 알림은 유효한 예치 흐름으로 처리되었습니다.

- 3단계: TAC EVM이 브리지 메시지를 처리하고 약 217만 개의 매핑된
USD₮를 포함한 매핑된 자산을 민팅하여 공격 경로를 완성했습니다.

결론
이 사건은 TAC의 TON 측 젯톤 예치 흐름에서 정규 지갑 검증이 누락되어 발생했습니다. 공식 젯톤 마스터에서 파생되지 않은 지갑이 가짜 JettonNotify를 성공적으로 제출했고, 브리지는 이를 합법적인 예치로 처리하여 TAC EVM에서 유효한 크로스체인 민팅으로 변환했습니다. 강력한 수정 방안은 TON 측 브리지가 청구된 소유자 및 자산에 대해 공식 젯톤 마스터로부터 파생된 정규 지갑과 발신자 주소를 검증하도록 보장하는 것입니다.
참고 자료
- [1] TAC Build 사후 성명
Boost Hook
2026년 5월 13일, Uniswap V4 풀과 훅을 기반으로 구축된 무기한 선물 프로토콜인 Boost가 이더리움에서 약 $46.75K의 피해를 입는 공격을 받았습니다. 근본 원인은 현물 가격 조작이었습니다: BoostHook이 레버리지 포지션을 열 때 진입 가격으로 V4 풀의 slot0 sqrtPriceX96을 직접 사용하여, 공격자가 단일 트랜잭션 내에서 가격을 인위적으로 높이고 프로토콜이 자체 ETH 준비금을 사용하여 조작된 가격에 PERP 토큰을 구매하도록 강제할 수 있었습니다.
배경
Boost는 커스텀 훅(BoostHook)이 있는 단일 Uniswap V4 ETH/PERP 풀을 기반으로 구축된 무기한 선물 프로토콜입니다. PERP는 고정 공급량(총 100만 개)의 ERC-20 토큰이며, Boost는 풀의 유일한 유동성 공급자로서 초기 가격 이상의 집중 유동성 밴드에 모든 PERP를 공급합니다.
레버리지는 이 동일한 풀에 대한 시장 스왑으로 구현됩니다. 사용자가 openLong()을 호출하면, BoostHook은 차입 금액으로 자체 상위 밴드에서 추가 ETH를 인출하여 사용자의 담보를 보충한 후, 전체 포지션 크기를 PERP로 스왑합니다. PERP는 BoostHook의 잔액에 유지되고, 사용자는 내부 Position 기록을 받습니다. 청산 또는 포지션 종료는 스왑을 역방향으로 수행하고, 부채를 상환하며, 잉여분을 반환합니다.
취약점 분석
버그가 있는 BoostHook 컨트랙트는 0x3db1...d7eacc에 배포되어 있습니다.
근본 원인은 BoostHook이 포지션을 열 때 진입 가격으로 풀의 slot0 sqrtPriceX96, 즉 현물 가격을 직접 읽는다는 것입니다. slot0은 순간적인 풀 상태를 반영하므로, 대규모 스왑을 통해 단일 트랜잭션 내에서 조작이 가능합니다. TWAP와 같은 조작 저항성 있는 범위 내에 진입 가격이 있는지 확인하는 검사가 없습니다.

공격 분석
아래 분석은 트랜잭션 0xb45cc4...cebd3811를 기반으로 합니다.
-
1단계: 공격자는 Morpho Blue에서
WETH플래시 론을 받아ETH로 언래핑하여 조작 왕복에 필요한 초기 자본을 확보했습니다. -
2단계: 공격자는 Sat1SwapRouter를 통해 대량의
ETH를PERP로 스왑하여 풀의 현물 가격을 상승시켰습니다. 공격자는 이제 펌프 이전 가격에 구매한 대규모PERP포지션을 보유하게 되었습니다.

- 3단계: 공격자는 5배 레버리지로
openLong()을 여러 번 호출했습니다. 각 호출마다 공격자는 소량의 담보(예: 2ETH)를 제공했고,BoostHook은 자체 밴드에서 그 4배를 차입한 후, 조작된 현물 가격에 전체 포지션 크기로PERP를 시장 매수했습니다. 연속적인 롱 개시마다 현물 가격이 더욱 상승했으며, 매수 압력의 대부분은 프로토콜 자체의ETH에서 비롯되었습니다.

- 4단계: 공격자는 2단계에서 취득한
PERP를ETH로 다시 스왑했습니다. 현물 가격이 최초 펌프와 3단계에서 프로토콜 자금으로 개시된 롱 포지션 모두에 의해 상승했기 때문에, 청산 가격은 진입 가격보다 현저히 높았습니다. 저렴한 매수와 비싼 매도 사이의 스프레드가 수익을 구성했습니다.

-
5단계: 덤프의
afterSwap콜백 내에서_scanAndLiquidate가 트리거되어 3단계의 포지션을 프로토콜에 대한 부실 채무로 청산하기 시작했습니다. 4단계의 수익이 이미 정산되었기 때문에 공격자의 이익에는 영향을 미치지 않았습니다. -
6단계: 공격자는 축적된
ETH를 다시WETH로 래핑하고, 플래시 론을 상환한 후 나머지ETH를 수익으로 취했습니다.
결론
이 사건은 현물 가격 조작으로 인해 발생했습니다: BoostHook이 레버리지 롱 개시의 진입 가격으로 V4 풀의 현물 가격을 직접 사용하여, 공격자가 단일 트랜잭션 내에서 가격을 인위적으로 높이고 프로토콜이 자체 ETH 준비금으로 최고점에서 PERP를 구매하도록 강제할 수 있었습니다. 수정 방안은 순간적인 slot0 값을 신뢰하는 대신 TWAP와 같은 조작 저항성 있는 참조 가격에 대해 _swapEthForToken을 제한하는 것입니다.
BlockSec 소개
BlockSec은 풀스택 블록체인 보안 및 암호화폐 컴플라이언스 제공업체입니다. 저희는 프로토콜과 플랫폼의 전체 라이프사이클에 걸쳐 고객이 코드 감사(스마트 컨트랙트, 블록체인 및 지갑 포함)를 수행하고, 실시간으로 공격을 차단하며, 사건을 분석하고, 불법 자금을 추적하고, AML/CFT 의무를 이행할 수 있도록 돕는 제품과 서비스를 구축합니다.
BlockSec은 권위 있는 학술 컨퍼런스에서 다수의 블록체인 보안 논문을 발표하고, DeFi 애플리케이션의 여러 제로데이 공격을 보고하며, 다수의 해킹을 차단하여 2천만 달러 이상을 구해냈으며, 수십억 달러 규모의 암호화폐를 보호해왔습니다.
-
공식 웹사이트: https://blocksec.com/
-
공식 트위터 계정: https://twitter.com/BlockSecTeam
-
🔗 BlockSec 감사 서비스 : 요청 제출



