폐쇄된 DeFi 프로토콜 Aztec Connect의 방치된 스마트 계약이 이번 주 200만 달러 규모로 악용되었습니다. 플랫폼이 종료된 지 3년 이상이 지난 후입니다. 이 사건은 탈중앙화 금융에서 지속적인 위험을 강조합니다. 일단 계약이 블록체인에 배포되면 수정하거나 제거할 수 없어 프로젝트 자체가 사라진 후에도 공격자에게 표적이 됩니다.
악용 방법
공격자는 Aztec Connect가 2024년에 운영을 중단한 이후로 건드리지 않은 계약에서 약 200만 달러를 빼냈습니다. 계약이 불변성(immutable)을 띠었기 때문에(많은 DeFi 프로토콜의 핵심 기능) 아무도 자금을 잠그거나 종료 후 기능을 비활성화하도록 업데이트할 수 없었습니다. 이 악용은 알려진 취약점을 이용하거나 계약의 원래 권한 때문에 여전히 접근 가능했던 자금을 인출한 것으로 보입니다.
불변 계약이 위험한 이유
불변성은 종종 블록체인 코드의 보안 기능으로 칭송받습니다. 배포 후에는 누구도 규칙을 변경할 수 없기 때문입니다. 그러나 동일한 특성이 프로젝트가 종료될 때는 책임이 됩니다. 계약이 사용자 자금을 보유하거나, 인출 권한을 부여하거나, 다른 프로토콜과 상호작용하는 경우 해당 기능은 영원히 활성 상태로 유지됩니다. Aztec Connect의 사례는 전형적인 예입니다. 팀은 떠났지만 계약은 계속 실행되었고 결국 공격자가 이를 발견했습니다.
출구 전략의 공백
이 악용은 많은 DeFi 프로젝트의 종료 계획에서 빠진 부분을 부각시킵니다. 스마트 계약을 깔끔하고 되돌릴 수 없게 비활성화하도록 설계하는 프로토콜은 거의 없습니다. 일시 중지 기능, 자체 파괴 옵션(지원되는 경우), 또는 마이그레이션 메커니즘과 같은 간단한 단계를 추가하면 위험을 줄일 수 있지만 개발 단계에서 선견지명이 필요합니다. Aztec Connect의 경우 프로젝트가 종료될 때 그러한 보호 장치가 마련되어 있지 않았습니다.
200만 달러의 손실은 회복 가능성이 낮습니다. 블록체인이 원래 계약 로직을 강제하기 때문에 거래를 되돌리거나 자금을 회수할 중앙 권한이 없습니다. 돈은 사라졌고 공격자는 익명 상태로 남아 있습니다.
DeFi가 배울 점
규제 기관과 보안 연구원들은 수년간 방치된 계약이 시한폭탄을 만든다고 경고해 왔습니다. Aztec Connect 악용은 첫 번째 사례가 아니며, 휴면 계약이 약탈당한 마지막 사례도 아닐 것입니다. 이제 문제는 개발자들이 계약 불변성을 프로젝트 사후에 끌 수 있는 기능으로 취급할지, 아니면 종료를 단순히 웹사이트를 끄는 것으로 계속 여길지입니다. 프로토콜이 자신의 종말을 계획하는 방식이 바뀌지 않으면 유사한 손실이 뒤따를 가능성이 큽니다.
