TechFlow 소식에 따르면, 4월 28일 암호화 커뮤니티 멤버 Cat(@0xCat_Crypto)이 공개한 바에 따르면, 한 Web3 스타트업 프로젝트의 스마트 계약 코드 내에 하드코딩된 권한 부여 지갑 주소가 포함되어 수십만 USDT가 이체되는 사건이 발생했다. 이번 사건에서 한 직원이 제출한 계약 코드에 의심스러운 부분이 있었으나, 해당 직원은 관련 코드를 작성하지 않았다고 부인하며, 악성 코드는 인공지능 프로그래밍 보조 도구가 자동 생성한 것이며 충분한 검토 없이 반영되었다고 주장했다. 현재까지 해당 지갑의 소유자는 확인되지 않았으며, 코드 작성 주체도 특정하기 어려운 상황이다.
슬로우미스트(SlowMist)의 여현(余弦)은 게시글을 통해 초기 조사 결과, Cursor와 Claude 3.7 모델을 사용하는 환경에서 AI가 자동 완성한 주소는 사건과 관련된 악성 주소와 일치하지 않아 AI 코드 생성이 악의적인 행위를 했다는 가능성을 거의 배제할 수 있다고 밝혔다. 이 악성 주소는 스마트 계약 소유자 권한을 부여받아 프로젝트 측 자금이 전액 이체되는 결과를 초래했다.




