뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
2
이더리움(Ethereum) 기반 최대 추출 가치(MEV) 봇이 보안 취약점을 노린 공격에 의해 약 116.7 ETH, 한화로 약 2억 900만 원의 손실을 입었다. 이번 사고는 MEV 봇의 접근 제어 기능 부재가 원인으로, 전문가들은 기본적인 보안 조치 미비가 치명적인 결과로 이어졌다고 경고했다.
8일 블록체인 보안 기업 슬로우미스트(SlowMist)는 문제의 MEV 봇이 적절한 접근 제어 기능 없이 운용되다가 해커에 의해 공격당했다고 밝혔다. 보안 전문가 블라디미르 소비레프(Vladimir Sobolev)는 해당 봇이 공격자가 만든 악성 유동성 풀에 의해 ETH를 무가치한 더미 토큰으로 교환하게 되면서 자산을 잃게 됐다고 설명했다.
이번 공격은 단 한 건의 트랜잭션 안에서 이뤄졌으며, 공격자가 직접 생성한 풀을 활용해 봇의 거래를 유도하는 방식으로 진행됐다. 소비레프는 “적절한 권한 검증만 있었더라면 충분히 방어할 수 있었던 단순한 접근 제어 오류”라며, 봇 운영자가 미흡한 보안 구조를 제대로 점검하지 않은 점을 지적했다.
MEV 봇 운영자는 공격 발생 25분 만에 범인에게 현상금을 제안했고, 곧바로 새로 구축한 MEV 봇에 강화된 권한 검증 시스템을 적용했다. 이 같은 신속한 조치에도 불구하고, 봇의 접근 제어 오류로 인한 피해는 이미 돌이킬 수 없는 상태였다.
소비레프는 이번 사건이 지난해 발생했던 또 다른 MEV 취약점 사고와 유사하다고 설명했다. 2023년 4월, 샌드위치 거래를 수행하던 MEV 봇들이 무단 행위를 저지른 검증자에게 약 2,500만 달러(약 365억 원)의 자산을 탈취당한 사건이 대표적인 사례다.
이러한 사고에도 불구하고, MEV 봇은 여전히 높은 수익성을 기대할 수 있는 알고리즘 기반 자동화 도구로 인식되고 있다. 이더리움 블록 내 거래 순서를 변경하거나 삽입·검열하는 방식으로 블록 생성 과정에서 최대 이익을 추출하는 기능은 정교한 전략 수립이 가능한 트레이더들에게 매력적인 도구지만, 일반 투자자들에게는 위험 요소가 크다.
특히 최근에는 MEV 시스템을 노린 사기 수법까지 확산되고 있다. 소비레프는 “온라인 상에 떠도는 MEV 봇 설치 가이드 중 상당수가 악성코드나 피싱 목적의 사기”라며, 나도 모르게 자금을 도난당하는 일이 빈번하게 발생하고 있다고 경고했다.
그는 사용자들이 MEV 관련 정보를 얻을 때 공신력 있는 출처를 반드시 확인해야 한다고 강조하며, 허위 튜토리얼을 통한 자산 탈취가 조직적으로 이뤄지고 있는 만큼 각별한 주의가 필요하다고 밝혔다.
