
DEXX 계시록: 트레이딩 봇 보안 난국을 헤쳐가는 체인 상 생존 법칙
글: SafePal
「어두운 숲」이라는 개념은 삼체에서 유래한 우주 사회학 법칙이자, 현재 Web3 보안 분야의 현실을 가장 적나라하게 요약한 표현이다. 블록체인에는 무한한 상상력과 혁신적인 플레이 방식이 존재하지만, 동시에 '어두운 숲'처럼 피비린내 나는 제로섬 게임이 난무하며, 일반 투자자들은 정보 비대칭 상태에서 '사냥감' 역할을 하는 경우가 많다.
11월 16일, 여러 커뮤니티 사용자들이 DEXX라는 체인 상 거래 터미널이 해킹당했다고 보고했으며, 사후 분석 결과 DEXX의 개인키 관리에 명백한 취약점이 있었던 것으로 드러났다. 심지어 개인키가 평문 형태로 전송되고 저장된 적도 있었으며, 지금까지 확인된 손실 금액은 2,000만 달러를 초과한다.
이러한 상황에서 일반 사용자들이 어떻게 블록체인 상 자기 보호 메커니즘을 강화할 수 있을지가 중요한 화두로 떠올랐다. 이에 SafePal 공동창립자이자 CEO인 베로니카(Veronica)는 137Labs가 주최한 𝕏 Space 행사 「DEXX 사건에서 비롯된 보안 고찰: 암호화 자산 투자에서의 함정 피하기」에 참여해, BlockSec 창립자 앤디(Andy), 베테랑 트레이더 회소가(会所哥), 137Labs 연구원 원원(OneOne) 등과 함께 DEXX 보안 사건을 논의하고 암호화 자산 투자자들을 위한 실질적인 보안 조언을 제시했다.
본문은 이번 Twitter Space에서 나온 연사들의 핵심 내용을 정리한 글이다.
메모리 중개 거래(MEVM) 봇 도구의 ‘감당할 수 없는 부담’
암호화 자산 투자에서 고수익과 절대적 안전은 종종 양립하기 어렵다. DEXX, Unibot 등의 트레이딩 봇 도구는 일괄 추종 거래 및 신속한 자금 이체 기능으로 인기를 끌고 있지만, 이러한 편의성은 중심화된 아키텍처 위에 구축되어 있으며, 사용자가 자금 권한이나 지갑 접근 권한을 부여해야 하므로 자산 리스크가 크게 증가한다.
그러나 대부분의 사용자는 이러한 거래 도구의 보안 요구사항을 과소평가하며, 대형 거래소에는 익숙하지만 소규모 플랫폼의 리스크는 간과하는 경향이 있다. 이번 DEXX 사건은 일부 거래 도구가 개인키 관리 측면에서 치명적인 결함을 가지고 있음을 노출시켰다. 진정한 '노온보딩(non-custodial)' 지갑은 개인키가 사용자의 장치에만 저장되어야 하며, 중앙 서버에 의존해서는 안 된다. 설령 개인키가 암호화되어 있어도 메모리 수준의 보안 보호 기술(예: TEE 또는 엔클레이브)이 없다면 여전히 도난될 가능성이 있다.
또한 이번 공격은 복잡한 수법을 동원해 해커가 자금을 분산 이체하여 추적이 어려워졌으며, 이는 자금 회수가 매우 어렵게 만들었을 뿐 아니라 향후 유사한 사건들이 더욱 정교하고 예방하기 어려울 것임을 시사한다. 따라서 두 가지 가능성이 제기된다. 하나는 기술적 취약점으로 인해 플랫폼이 공격당한 것이고, 다른 하나는 내부 감시자가 도둑질을 하거나 심층적으로 침투당한 경우인데, 후자라면 미래 리스크는 더욱 심각할 수 있다.
Dune 데이터에 따르면, 현재 트랜잭션량 기준 상위 5개의 봇은 Trojan, BonkBot, Maestro, Banana Gun, Sol Trading Bot이며, 7일간 거래량 모두 1억 달러 이상, 누적 사용자 수 모두 30만 명 이상이다. 바로 이런 이유로 인해 "폭리 혹은 전재산 잃기"라는 마인드셋이 확산되며, 다수의 사용자들이 잠재된 막대한 리스크를 간과하게 된다.

이미지 출처: Dune
베로니카는 거의 모든 MEV(메모리 중개 가치) 트레이딩 봇 도구가 유사한 보안 리스크에 직면해 있다고 지적한다. 이러한 봇이 초고속 체인 상 거래를 수행하고 매번 수동 서명을 피할 수 있는 이유는, 보안성과 노온보딩 특성을 일부 희생하기 때문이다.
하드웨어 지갑, 앱 지갑, 브라우저 확장 지갑 등을 사용하든 간에, 일반적으로 사용자는 몇 초 정도 수동으로 서명을 승인해야 하지만, 거래 속도와 사용자 경험을 개선하기 위해 이러한 봇은 종종 타협하여 개인키 보안을 최저 수준으로 낮춰 더 빠른 체결을 실현한다.
이러한 설계가 완전히 잘못되었다고 단정하거나, 이러한 프로젝트들이 모두 불안전하다고 말할 수는 없지만, 분명히 개발팀의 보안 방어 능력에 매우 높은 수준의 요구를 제기한다. 원활한 사용 경험을 제공하기 위해, 만약 개발팀이 강력한 보안 방어 능력을 확보하지 못한다면 공격을 당했을 때 그 결과는 극히 심각할 수 있으며, 사용자와 프로젝트 운영자 모두 큰 손실을 입을 수 있다.
게다가 현재 대부분의 트레이딩 봇 설계는 자동화 거래를 구현하기 위해 각 사용자를 위해 개인키를 생성하고 이를 보관한다는 점에서 현저한 보안 위험을 안고 있다. 이 방법은 사용자가 자동화된 추종 거래를 쉽게 할 수 있게 해주지만, 동시에 매우 높은 보안 리스크를 수반한다. 공격자가 플랫폼을 뚫고 들어오면 저장된 모든 사용자 개인키가 유출되어 자산 손실이 발생할 수 있다.

이미지 출처: DEXX「지갑 관리」페이지
하지만 실제로는 사용자의 개인키 없이도 자동화 거래를 가능하게 하는 보다 안전한 아키텍처가 존재한다.
이 설계는 스마트 계약을 활용하며, 사용자 계정과 연결된 'PDA(Pubkey Derived Account)'를 생성하여 사용자 개인키 서명 없이도 거래를 완료할 수 있다. 플랫폼은 제한된 '작업 계정(operation account)'을 통해 거래 명령을 실행할 수 있으나, 이 작업 계정의 권한은 엄격하게 통제되어 오직 거래만 수행할 수 있고, 사용자 자산을 마음대로 이체할 수는 없다.
이러한 스마트 계약 기반 설계는 보안성을 크게 향상시킨다. 사용자의 개인키는 항상 본인의 손에 있으며, 중앙화된 서버에 저장되지 않기 때문이다. 비록 이 설계가 더 복잡하고 개발팀의 엔지니어링 역량과 보안 기술에 더 높은 요구를 한다는 단점이 있지만, 완전히 실현 가능하며 훨씬 더 안전하다.
현재 대부분의 사용자들은 두 가지 설계 방식의 차이를 잘 알지 못하거나, 편의성을 우선시하면서 보안을 간과하고 있다. 그러나 보안 사고가 반복되면서 사용자와 개발팀 모두 보다 안전한 아키텍처에 점점 더 관심을 가질 것이며, 이러한 선진적인 설계 방식이 점차 보편화되어 DEXX 사건과 같은 사례를 줄이는 데 기여할 것으로 기대된다.
거래 승인에서부터 개인키 보호까지: Web3 보안 체인
원원(OneOne)은 현재 체인 상 보안 리스크를 크게 두 가지로 나누어, 거래 승인에서부터 개인키 보호에 이르는 영역을 포괄한다고 말한다.
첫 번째로 흔한 공격 방식은 'Approve 사기'이다. 예를 들어 '먼지 공격(dust attack)'을 통해 소량의 암호화 자산이나 에어드랍 NFT를 보내 사용자가 클릭하게 유도하고, 거래 승인을 유도하는 것이다. 이 승인을 통해 공격자는 사용자 지갑 권한을 획득해 자산(암호화폐 및 NFT 포함)을 탈취할 수 있다. 사용자는 출처를 알 수 없는 토큰과 에어드랍을 신중하게 처리하고, 무분별한 승인을 피해야 한다.
개인키 유출은 일반적으로 다음과 같은 몇 가지 방식으로 이루어진다:
-
첫 번째는 '악성 소프트웨어 공격'이다. 예컨대 공격자가 새로운 프로젝트 테스트에 초대하는 척 하며, 트로이 목마 바이러스가 포함된 실행 파일을 다운로드하도록 유도한다. 한번 감염되면 사용자의 개인키와 계정 비밀번호가 쉽게 탈취된다.
-
두 번째는 '클립보드 공격'이다. 공격자가 피싱 사이트를 통해 사용자의 클립보드 접근 권한을 얻는다. 사용자가 개인키를 복사-붙여넣기 할 때, 이 민감 정보가 공격자에게 가로채져 이용된다.
-
또한 '원격 제어 공격' 사례도 있다. 악성 원격 소프트웨어를 통해 사용자의 컴퓨터를 조작하거나, 사용자가 잠든 사이 직접 개인키를 탈취하는 것이다. 예를 들어 에어드랍을 모으는 사용자들이 자주 사용하는 '지문 브라우저(fingerprint browser)'는 클라우드 저장 기능을 포함하는 경우가 많은데, 이 기능이 해킹당하면 사용자의 자산이 쉽게 유출된다. 많은 사용자가 이러한 도구를 사용하면서 2단계 인증(2FA)을 설정하지 않아 리스크를 더욱 키운다.
-
마지막으로 '입력기 보안 문제'도 있다. 많은 사용자가 스마트 입력기를 선호하지만, 이 입력기들은 사용자의 입력 데이터를 수집해 클라우드에 저장할 수 있으며, 이는 개인키 유출 가능성을 높인다. 사용자는 기능은 덜하지만 보안성이 높은 시스템 기본 입력기를 사용하는 것을 권장한다.
전반적으로 보면, 사용자는 DeFi 앱이나 거래 도구를 사용할 때 특히 추가적인 보안 예방 조치를 취해야 한다. 그 중에서도 승인 관리는 매우 중요하게 다뤄져야 한다. 이더리움 메커니즘 상 사용자가 스마트 계약에 토큰 사용 권한을 부여해야 하기 때문에, 공격자는 이 승인 메커니즘을 악용해 악성 작업을 수행할 수 있다. 따라서 사용자는 자주 자신의 지갑 승인 목록을 점검하고, 더 이상 필요하지 않은 승인은 즉시 취소해야 하며, 특히 잊혀진 초기 승인들까지 제거함으로써 리스크를 줄여야 한다.
또한 사용자가 DeFi 플랫폼을 선택할 때는 플랫폼의 보안 조치를 검토해야 한다. 완벽한 감사 보고서 보유 여부, 지속적인 자동화 보안 모니터링 여부, 그리고 플랫폼이 정기적으로 버그를 수정하고 업데이트하는지 등을 살펴봐야 한다. 트레이딩 봇을 사용할 경우, 자산을 분산 관리하는 것이 좋다. 큰 금액의 자산을 트레이딩 봇이 제어하는 계정에 두지 말고, 수익을 얻은 후에는 가능한 한 빨리 더 안전한 지갑으로 이체하여 손실 가능성을 최소화해야 한다.
회소가(会所哥)는 트레이더로서 거래 도구와 플랫폼의 메커니즘을 이해하는 것이 무엇보다 중요하다고 말한다. 현재 '토그(tugdog)' 거래 환경에서 많은 사람들이 급등락의 자극에만 주목하고 거래 도구의 보안 위험을 간과한다. 사용자는 풀 청산 경고나 정산 알림 등과 같은 보안 경보를 설정해 리스크를 실시간으로 관리해야 한다.
베로니카는 간단하지만 중요한 원칙을 강조한다. 효율적인 수익 추구와 완전한 보안 사이에는 항상 타협이 존재하며, 가장 핵심적인 조언은 자금 격리(money isolation)를 실천하는 것이다. 투자 포지션이 너무 커서 잠을 이루지 못하고 자주 핸드폰을 확인하게 된다면, 이는 당신의 자금 배분이 이미 리스크 감당 능력을 초과했음을 의미한다.
어떤 실용적인 체인 상 보안 조회 도구가 있을까?
베로니카는 사용자들에게 SafePal과 같은 노온보딩 지갑에 내장된 보안 소도구를 활용할 것을 추천한다. 예를 들어 정기적으로 승인을 점검하는 기능인데, 사용자는 여러 체인에 걸친 모든 승인 기록을 스캔하고 불필요한 승인을 한 번에 취소할 수 있어 해커의 악용 리스크를 줄일 수 있다.

이미지 출처: SafePal 'Approval Manager' 기능
또한 현재 사기꾼들은 종종 소액 송금을 통해 사용자의 송금 주소처럼 위장하여 자금을 속여내곤 한다. 현재 OKX Web3 지갑, SafePal 등 주요 지갑들은 '앞뒤 공격(front-running/back-running attack)'에 대응하는 리스크 거래 차단 서비스를 도입했다. 또한 하드웨어 지갑 + 비밀 문구(Passphrase) 기능은 알려지지 않았지만 매우 유용한 기능으로, 여러 암호화 자산 계정을 관리하는 사용자에게 특히 적합하다.
비밀 문구는 13번째 단어로서 기존의 12개 복구 단어와 조합되어 완전히 새로운 지갑 주소를 생성한다. 누군가 당신의 복구 단어를 알아낸다 해도, 비밀 문구가 없다면 자산에 접근할 수 없다. 즉, 사용자는 이를 통해 여러 지갑 계정을 만들 수 있으며, 보안성을 확보할 수 있다.
이 방법은 개인키 보안을 강화할 뿐 아니라, 여러 계정 간 자산을 유연하게 관리할 수 있게 해주며, 비밀 문구는 사용자의 머릿속에만 존재할 수도 있어 보안성을 더욱 높인다.
앤디(Andy)는 사용자가 보안 사고를 겪는 것은 프로젝트 자체의 리스크 외에도, 사용자 본인의 보안 습관 부족 때문일 수 있다고 강조한다. 사용자가 자신이 보유한 암호화 자산이 많다는 점이나 투자 거래의 리스크를 알고 있음에도 불구하고, 나쁜 습관으로 인해 자산이 위험에 노출되는 경우가 많다.
사용자는 격리된 보안 인식과 습관을 유지할 것을 권장한다. 예를 들어 대규모 자산은 콜드 월렛에 보관하여 상호작용은 가능하지만 직접 자금 이체는 불가능하게 하고, 별도의 스마트폰(iPhone 등)을 암호화 자산 관리 전용으로 사용하는 것이다. 이 기기에선 암호화폐 거래나 개인키 관리 외의 다른 소프트웨어 설치나 활동을 하지 않도록 하면, 개인키 유출 리스크를 크게 줄일 수 있다.
맺음말
DEXX 보안 사건은 체인 상 거래 도구 분야의 핵심 딜레마를 드러냈다. 바로 편의성과 보안 사이에서 균형을 어떻게 맞출 것인가?
효율적인 거래와 사용자 경험을 추구하면서도, 플랫폼의 보안 설계는 절대 희생되어서는 안 된다. 개인키의 중심화 저장이나 메모리 수준 보호 기술의 부족 같은 기술적 약점은 사용자 자산을 고위험에 노출시킨다.
'고수익과 절대적 보안 사이에는 항상 타협이 존재한다.' 투자자로서 거래 도구 뒤에 숨은 리스크 로직을 이해하고, 건강한 보안 습관을 기르는 것이 체인 상 '어두운 숲'을 통과하는 기초가 된다. 이 탈중앙화되고 불확실성이 가득한 생태계 속에서, 오직 자신의 개인키를 통제할 때에만 진정으로 자신의 자산을 통제할 수 있으며, 전체 체인 상 생태계의 건강한 발전을 이끌 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










