킬로엑스, 해킹 원인으로 '스마트 컨트랙트 권한 설정 결함' 지목

최근 약 700만 달러 상당의 해킹 피해를 입은 탈중앙화 무기한 선물 거래소(DEX) 킬로엑스(KiloEx, KILO)가 이번 해킹 사태의 원인을 분석, 스마트 컨트랙트 오버라이드 누락을 확인했다고 밝혔다. 킬로엑스는 공식 미디움을 통해 "킬로엑스 플랫폼의 스마트 컨트랙트 가운데 TrustedForwarder 컨트랙트의 오버라이드가 누락됐다. 해당 컨트랙트는 오픈제플린(OpenZeppelin)의 라이브러리에서 제공하는 메타 트랜잭션용 기본 템플릿(MinimalForwarderUpgradeable)을 기반으로 설계됐으나, 핵심 함수인 execute를 오버라이드하지 않아 권한 검증 없이 누구나 실행할 수 있는 상태로 남았다. 해커는 이런 구조를 악용해 단일 트랜잭션에서 인위적으로 낮은 가격에 포지션을 오픈하고, 즉시 높은 가격에 포지션을 종료하는 방식으로 부당 이득을 취했다"고 설명했다. 이어 "해커는 지난 13일 23시 31분경(현지시간) 토네이도 캐시를 통해 1 ETH를 출금했으며, 다음 날 ETH를 opBNB, 베이스, 바이낸스 스마트 체인, 타이코, B2, 만타 체인으로 나눠 전송하며 가스비를 충당할 자금을 확보했다. 이후 14일 해커는 다중 체인에 걸쳐 공격용 스마트 컨트랙트를 배포한 뒤, 모든 체인에서 해킹 공격을 동시 다발적으로 실시했다"고 부연했다.