GMX, 4200만 달러 해킹당해… 디파이(DeFi) 보안은 어떻게 지켜야 하나?
글: 챈들러Z, Foresight News
7월 9일, 탈중앙화 거래 플랫폼 GMX의 V1 시스템이 아비트럼(Arbitrum) 네트워크에서 공격을 받았다. 공격자는 스마트 계약 내부의 결함을 악용해 GLP 유동성 풀에서 약 4200만 달러 상당의 자산을 인출했다. 사고 후 GMX는 해당 플랫폼의 거래를 일시 중단하고 GLP 발행 및 상환 기능을 차단했다. 이번 공격은 GMX의 V2 시스템이나 원생 토큰에는 영향을 미치지 않았으나, DeFi 프로토콜 내부의 자산 관리 메커니즘에 대한 논의를 다시 촉발시켰다.
공격 과정과 자금 흐름
보안 업체 피크실드(PeckShield)와 슬로우미스트(SlowMist)의 분석에 따르면, 공격자는 GMX V1의 AUM(자산 운용 규모) 계산 로직에 존재하는 결함을 이용했다. 이 결함으로 인해 계약이 숏 포지션을 개시한 직후 전역 평균 가격을 즉시 갱신하게 되었으며, 공격자는 이를 이용해 특정 방향으로의 조작 경로를 구성하고 토큰 가격 조작 및 차익 실현을 위한 상환을 수행할 수 있었다.
공격자는 약 965만 달러 상당의 자산을 아비트럼에서 이더리움으로 이체한 후 DAI와 ETH로 교환했으며, 일부 자금은 믹서 프로토콜인 토네이도 캐시(Tornado Cash)로 유입되었다. 나머지 약 3200만 달러 상당의 자산은 여전히 아비트럼 네트워크 내에 있으며, FRAX, wBTC, DAI 등 다양한 토큰으로 구성되어 있다.
사건 발생 후 GMX는 블록체인 상에서 해커 주소로 메시지를 보내며 자금의 90%를 반환할 경우 10%의 화이트햇 보상을 제공하겠다고 제안했다. 그러나 최신 체인 데이터에 따르면, GMX 해커는 GMX V1 풀에서 훔친 자산을 이미 ETH로 전환한 것으로 나타났다.
해커가 탈취한 자산은 WBTC/WETH/UNI/FRAX/LINK/USDC/USDT였으며, 현재 FRAX를 제외한 모든 자산이 판매되어 약 11,700개의 ETH(약 3233만 달러)로 전환되었고, 이는 4개의 지갑으로 분산 보관되고 있다. 따라서 현재 GMX 해커는 11,700개의 ETH(약 3233만 달러)와 1049.5만 FRAX를 보유한 5개의 지갑을 통해 총 약 4280만 달러 상당의 자산을 소유하고 있는 상태이다.
여진(余烬) 분석에 따르면, 이러한 행위는 GMX 팀이 제안한 자산 반환이나 10%의 화이트햇 보상 수령 방안을 사실상 거부한 것으로 볼 수 있다.
스마트 계약 로직의 결함
보안 업체들은 공격자가 권한 없는 접근이나 권한 우회를 이용하지 않고, 예상된 로직에 따라 함수를 직접 호출하였으며, 상태 갱신의 시간 차이를 활용해 실행 기간 동안 함수를 반복적으로 호출함으로써 전형적인 재진입 공격(reentrancy attack)을 수행했다고 지적했다.
슬로우미스트는 이번 공격의 근본 원인이 GMX v1 버전의 설계 결함에 있다고 밝혔다. 숏 포지션 작업이 전역 숏 평균 가격(globalShortAveragePrices)을 즉시 갱신하게 되는데, 이는 자산 운용 규모(AUM) 계산에 직접적인 영향을 미치고 결과적으로 GLP 토큰의 가격 산정이 조작될 수 있다는 것이다. 공격자는 Keeper가 주문 실행 중 「timelock.enableLeverage」 기능을 활성화하도록 유도하여 다수의 숏 포지션을 개설할 수 있는 전제 조건을 만들고, 이 설계상의 취약점을 악용하였다. 재진입 공격을 통해 공격자는 대량의 숏 포지션을 성공적으로 구축하고 전역 평균 가격을 조작함으로써 단일 트랜잭션 내에서 GLP 가격을 인위적으로 끌어올린 후 상환 절차를 통해 이익을 실현했다.
이러한 유형의 공격은 DeFi 프로젝트에서 처음 있는 일이 아니다. 자산 발행 또는 상환 시 잔액 또는 포지션 업데이트가 늦어지는 경우 일시적인 불일치 상태가 노출되며, 공격자는 이를 이용해 조작 경로를 구성하고 담보 없이 자산을 인출할 수 있다.
GMX V1은 다수 사용자의 자산이 모인 통합 베일트(vault) 형태의 공유 유동성 풀 구조를 사용하며, 스마트 계약이 계정 정보와 유동성 상태를 제어한다. GLP는 이 풀의 대표적인 LP 토큰으로, 그 가격과 교환 비율은 체인 상 데이터와 계약 로직에 의해 동적으로 계산된다. 이러한 합성 토큰 시스템은 차익거래 공간 확대, 조작 가능성 형성, 다중 함수 호출 간 상태 지연 등의 관찰 가능한 위험을 내포하고 있다.
공식 대응
GMX는 공격 발생 직후 성명을 발표하며 이번 사건은 V1 시스템과 그 GLP 자금 풀에만 영향을 미쳤으며, GMX V2, 원생 토큰 및 기타 마켓은 무사하다고 밝혔다. 추가 공격을 방지하기 위해 팀은 V1의 거래 기능을 일시 중단하고 아비트럼 및 아발란체(Avalanche) 상의 GLP 발행 및 상환 기능을 비활성화했다.
팀은 현재 운영 안전성 회복과 계약 내부 메커니즘의 감사를 우선 과제로 삼고 있다고 밝혔다. V2 시스템은 V1의 로직 구조를 계승하지 않았으며, 다른 정산, 가격 산정 및 포지션 처리 메커니즘을 채택하고 있어 리스크 노출이 제한적이라고 설명했다.
공격 이후 24시간 동안 GMX 토큰은 약 17% 이상 하락하며, 약 14.42달러에서 최저 10.3달러까지 떨어졌고, 현재는 다소 회복되어 11.78달러 선에서 거래되고 있다. 이번 사건 이전 GMX의 누적 전체 거래량은 305억 달러를 넘었으며, 등록 사용자는 71만 명을 초과하고 미결제 약정 규모는 2.29억 달러를 상회했다.
암호자산 보안의 지속적 압박
GMX 공격은 고립된 사례가 아니다. 2025년 들어 암호화폐 산업은 해킹으로 인한 누적 손실이 작년 동기 수준을 이미 초과한 상태다. 2분기에는 사건 건수가 감소했지만, 이는 위험이 완화되었다는 의미는 아니다. 세르티크(CertiK) 보고서에 따르면, 2025년 상반기에 해커, 사기, 취약점 악용으로 인한 총 손실액은 24.7억 달러를 넘어섰으며, 이는 2024년의 24억 달러보다 약 3% 증가한 수치다. 바이빗(Bybit)의 콜드월렛 해킹과 세투스(Cetus) DEX 침입이라는 두 건의 대규모 사건이 총 17.8억 달러의 손실을 초래하며 전체 손실의 대부분을 차지했다. 이러한 집중적인 대규모 도난은 고가치 자산이 여전히 충분한 격리 및 중복 보안 장치를 갖추지 못하고 있음을 보여주며, 플랫폼 설계의 취약성은 여전히 해결되지 않았다.
공격 유형 중 가장 큰 경제적 피해를 초래한 것은 지갑 침입이다. 상반기 동안 관련 사건은 총 34건 발생해 약 17억 달러의 자산이 유출되었다. 복잡한 기술적 취약점을 악용하는 것보다, 지갑 공격은 대부분 소셜 엔지니어링, 피싱 링크, 권한 사칭 등을 통해 이루어지며 기술적 진입 장벽은 낮지만 파괴력은 매우 크다. 해커들은 특히 다중 인증을 사용하지 않거나 핫월렛에 의존하는 환경에서 사용자 단말의 자산 진입 지점을 표적으로 삼는 경향이 강해지고 있다.
동시에 피싱 공격은 빠르게 증가하며 가장 많은 사건 수를 기록한 수단이 되었다. 상반기 동안 총 132건의 피싱 공격이 기록되었으며, 누적 손실은 4.1억 달러에 달한다. 공격자들은 위조 웹사이트, 스마트 계약 상호작용 인터페이스, 가짜 거래 확인 절차 등을 통해 사용자를 오작동하게 유도함으로써 개인키 또는 권한을 탈취하고 있다. 공격자들은 전략을 계속해서 조정하며 피싱 행위를 점점 더 식별하기 어렵게 만들고 있으며, 사용자 측의 보안 인식과 도구 마련이 중요한 방어선이 되고 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Foresight News
