요즘에는 해커조차 돈을 잃는다

저자: Chloe, ChainCatcher

2025년 9월, Web3 소셜 플랫폼 UXLink의 다중 서명 지갑이 강탈당했습니다. 해커는 불과 몇 시간 만에 1천만 달러 이상의 자산을 탈취하고, 대량의 토큰을 발행하여 악의적으로 가격을 폭락시켜 코인 가격이 순간적으로 70% 이상 하락했습니다. 그러나 이 재난에서 가장 황당한 것은 공격 자체가 아니라 해커의 사후 "아마추어" 행동이었습니다.

전형적인 세탁 방식과는 달리, 이 해커는 급히 사라지려 하지 않고 오히려 탈취한 ETH와 스테이블 코인을 DEX에 투입하여 CoW Swap에서 빈번하게 거래했습니다. Arkham의 온체인 데이터에 따르면, 불과 6개월 만에 해당 주소는 거의 625건의 거래를 누적했으며, 장부상 손실은 한때 480만 달러에 달했습니다.

이 공격의 기술 경로를 복원해보면, 해커의 비상식적인 행동 패턴과 그 뒤에 숨겨진 잔혹한 현실을 발견할 수 있습니다. 이번 하락장 주기 앞에서, 비록 고급 기술로 체인上的 돈을 탈취할 수 있지만, 일단 시장 거래로 돌아가면 모두가 공평해집니다.

UXLink 다중 서명 지갑 보안 취약점, 손실 1천만 달러 초과

블록체인 보안 회사 Cyvers는 2025년 9월 22일 UXLink 다중 서명 지갑의 비정상적인 움직임을 최초로 감지하고 긴급 경고를 발령했습니다. 이후 UXLink 공식은 그 핵심 다중 서명 지갑이 침해당했으며, 손실 금액이 1,130만 달러를 초과했다고 확인했습니다.

이번 공격의 기술 경로는 상당히 명확합니다. 해커는 다중 서명 지갑의 delegateCall 함수 취약점을 겨냥하여, 해당 취약점을 이용해 계약 논리를 성공적으로 변조했습니다. 공격자는 먼저 지갑의 기존 합법 관리자 권한을 제거한 후, addOwnerWithThreshold 함수를 호출하여 자신을 새로운 지갑 소유자로 강제로 삽입했습니다. 이로써 UXLink가 의존하던 다중 서명 보안 메커니즘이 완전히 우회되었고, 지갑의 통제권이 완전히 넘어갔습니다.

이어지는 것은 체인上的 자산의 미친 강탈이었습니다. 도난 자산 목록에는 약 400만 달러의 USDT, 50만 달러의 USDC, 3.7개의 WBTC, 25개의 ETH, 그리고 약 300만 달러의 UXLINK 원주 토큰이 포함되어 있었습니다. 동시에 해커는 Arbitrum 체인에서 대량의 UXLINK 토큰을 발행하여 시장에 던졌고, 토큰 가격은 짧은 시간 안에 70% 이상 폭락하여 약 0.30달러에서 0.10달러 이하로 떨어졌으며, 시가 총액은 7천만 달러 이상 증발했습니다.

비정상적인 경로: 혼합 자금 출금 포기, 체인上 거래로 싸움

암호화 범죄의 표준 각본에 따르면, 다음 전개는 이러해야 했습니다: 해커는 자산을 Tornado Cash에 송금하여 익명화하고, 수많은 점프 주소를 통해 분할 세탁하여 최종적으로 전체 세탁 및 출금 프로세스를 완료해야 했습니다. 그러나 이 공격자는 비정상적인 길을 선택했습니다.

공격 발생 약 48시간 후, 해커는 1,620개의 ETH를 약 673만 개의 DAI로 교환했습니다. 이는 시장이 예상하는 첫 번째 "출하" 신호여야 했고, 여러 온체인 분석가들도 즉시 이 온체인 행동을 주목했지만, 이후 6개월 동안 이 주소의 행동 패턴은 직업 해커의 냉정함과 은폐에서 완전히 벗어나 오히려 체인上에서 미친 거래를 시작했습니다.

Arkham의 온체인 데이터 추적에 따르면, 해당 주소는 불과 6개월 만에 625건의 거래 기록을 누적했으며, 활동은 탈중앙화 거래 플랫폼 CoW Swap에 집중되었습니다. 거래 대상은 WETH와 DAI 사이를 빈번하게 왕복하며, 거래 빈도는 일반적인 장기 보유자보다 훨씬 높았습니다. 따라서 그를 1천만 달러를 훔친 해커라기보다는 거래자, 혹은 "하락 추세에서 진입하고, 변동성을 견디며, 원가선에 가까워질 때 출구를 찾는" 개인 투자자에 가깝다고 할 수 있습니다.

거래 수준 부족: 한때 400만 달러 이상 손실, 반년 동안 거의 제자리걸음

Arkham의 손익 추적 데이터에 따르면, 2025년 10월부터 2026년 2월 초까지 공격자 주소의 장부 자산은 여러 차례 300만 달러 이상의 손실을 기록했습니다. 2월에 들어서면서 손실은 최고 480만 달러에 달했습니다. 그의 거래 패턴은 매우 일관되었습니다: 저점에서 계속 매수하고, 변동 속에서 버티며, 가격이 겨우 원가선 근처로 회복될 때까지 대기했습니다.

3월 하순에 이르러서야 이 해커는 전환점을 맞이했습니다. 그는 CoW Swap에서 2,150달러의 평균가로 5,496개의 ETH를 약 1,186만 개의 DAI로 교환했으며, 이 거래는 그에게 약 93.5만 달러의 장부 이익을 가져다주었고, 전체 투자 포트폴리오가 드디어 손익 분기점으로 돌아오게 했습니다. 그러나 동시에 보유하고 있던 WBTC 포지션이 이익을 잠식하고 있었고, 해커는 2026년 1월 30일 평균가 83,225달러로 203개의 WBTC를 매입했으며, 최근까지 약 268만 달러의 손실을 보고했습니다. 이 매입 시점은 시장의 짧은 반등 고점에 정확히 맞아떨어졌고, 그는 다시 한 번 상대적으로 높은 가격에 매입하게 되었습니다.

투명한 감옥과 긴 회복의 길

UXLink 사건은 암호화 범죄 역사에 독특한 시각을 제공합니다: 한 공격자가 조명 아래에서 지속적으로 높은 가시성의 거래 궤적을 남겨, 전 세계 온체인 분석가들이 그의 행동 과정을 완전하게 기록할 수 있게 했습니다.

이는 아마 해커의 부주의에서 비롯된 것이 아니라 "안전"에 대한 구식 인식일 수 있습니다. 그는 자산을 여러 주소에 분산시키고 DEX에서 거래하여 CEX의 실명 인증 장벽을 피하면 은폐를 유지할 수 있다고 생각했을 것입니다. 그러나 온체인 분석 도구의 진화 속도는 이러한 판단을 지나치게 낙관적으로 보이게 만들었습니다. Arkham, Lookonchain, PeckShield 및 느린 안개와 같은 기관들은 거의 즉시 모든 대규모 이상 움직임을 감지했으며, 해커의 모든 출입은 대중의 주목 아래 완전히 드러났습니다. 이 해커는 1천만 달러를 소유하고 있었지만, 마치 투명한 디지털 감옥에 갇혀 있는 듯했습니다.

UXLink 프로젝트 측에게 이 상황은 다소 위안이 되기도 하지만, 큰 곤란이기도 합니다. 자산은 사라지지 않았고 여전히 추적 가능한 블록체인에 존재하지만, 사법 관할권의 개입이 없는 체인上 세계에서 "보이는 것"과 "되찾는 것" 사이에는 여전히 넘기 힘든 간극이 존재합니다.

비록 UXLink는 사건 이후 신속하게 새로운 계약 감사, 토큰 교환 및 사용자 보상 계획을 완료하여 시장 신뢰를 재건하려 했지만, 토큰 가격은 2024년 12월의 고점 3.75달러에서 약 0.0044달러로 떨어져, 하락폭이 99%에 달했습니다. UXLink에게 코드 취약점을 수정하는 것은 몇 주면 가능할 수 있지만, 거의 제로에 가까운 폐허에서 생태계를 재건하는 길은 여전히 길고 힘든 여정입니다.

하락장 앞에서 모두에게 공평하게

UXLink 해커의 이야기는 "시장 현실"의 축소판이 되었으며, 단순한 보안 사고에 그치지 않습니다.

비록 그는 정교한 기술을 보유하고 있어 delegateCall의 취약점을 정확하게 포착하고 다중 서명 방어를 우회하여 몇 시간 만에 치밀한 수확을 완료할 수 있었지만, 자금이 입금된 후 그가 직면한 것은 일반 개인 투자자와 다를 바 없는 곤경이었습니다: 시장은 자금이 어디서 왔는지 신경 쓰지 않으며, ETH는 보유 기간 동안 여전히 하락하고, BTC는 매입 후 여전히 묶여 있었습니다.

이 결말은 연민의 여지가 없지만, 아이러니로 가득 차 있습니다. 공격자가 애써 훔친 자산은 결국 시장의 변동 속에서 소모되어 반년 후 장부 가치는 입장할 때와 거의 차이가 없게 되었습니다. 그는 하락장에서 손실을 본 첫 번째 ETH 보유자가 아니며, WBTC를 저가에 매입할 때 시장에 의해 반격당한 마지막 투기꾼도 아닙니다.