요즘은 해커조차도 돈을 잃는다

저자: Chloe, ChainCatcher

2025년 9월, Web3 소셜 플랫폼 UXLink의 다중 서명 지갑이 강탈당했다. 해커는 불과 몇 시간 만에 1천만 달러 이상의 자산을 탈취하고, 대량의 토큰을 발행하여 악의적으로 가격을 폭락시켜 코인 가격이 순간적으로 70% 이상 급락했다. 그러나 이 재난에서 가장 황당한 것은 공격 자체가 아니라 해커의 사후 "아마추어" 행동이었다.

전형적인 세탁 방식과는 달리, 이 해커는 급히 사라지지 않고 오히려 탈취한 ETH와 스테이블 코인을 DEX에 투입하여 CoW Swap에서 빈번하게 거래했다. Arkham의 온체인 데이터에 따르면, 불과 6개월 만에 해당 주소는 거의 625건의 거래를 누적했으며, 장부상 손실은 한때 480만 달러에 달했다.

이 공격의 기술 경로를 복원해보면, 해커의 비상식적인 행동 패턴과 그 이면의 잔혹한 현실을 발견할 수 있다: 이번 하락장 주기 앞에서, 비록 고급 기술로 체인에서 돈을 탈취할 수 있지만, 일단 시장 거래로 돌아가면 모두가 공평하다.

UXLink 다중 서명 지갑 보안 취약점, 손실 1천만 달러 초과

블록체인 보안 회사 Cyvers는 2025년 9월 22일 UXLink 다중 서명 지갑의 이상 움직임을 최초로 감지하고 긴급 경고를 발령했다. 이후 UXLink 공식은 그 핵심 다중 서명 지갑이 침해당했으며 손실 금액이 1,130만 달러를 초과했다고 확인했다.

이번 공격의 기술 경로는 상당히 명확하다. 해커는 다중 서명 지갑의 delegateCall 함수 취약점을 겨냥하여 이 취약점을 이용해 계약 논리를 성공적으로 변조했다. 공격자는 먼저 지갑의 기존 합법 관리자 권한을 제거한 후, addOwnerWithThreshold 함수를 호출하여 자신을 새로운 지갑 소유자로 강제로 삽입했다. 이로써 UXLink가 의존하던 다중 서명 보안 메커니즘이 완전히 우회되었고, 지갑의 통제권이 완전히 넘어갔다.

이어지는 것은 체인 상 자산의 미친 강탈이었다. 탈취된 자산 목록에는 약 400만 달러의 USDT, 50만 달러의 USDC, 3.7개의 WBTC, 25개의 ETH, 그리고 약 300만 달러의 UXLINK 원주율 토큰이 포함되어 있었다. 동시에 해커는 Arbitrum 체인에서 대량의 UXLINK 토큰을 발행하여 시장에 던졌고, 토큰 가격은 짧은 시간 안에 70% 이상 폭락하여 약 0.30달러에서 0.10달러 이하로 떨어졌으며, 시가 총액은 7천만 달러 이상 증발했다.

비정상적인 경로: 믹싱 출금을 포기하고 체인 상 거래에 머물다

암호 범죄의 표준 각본에 따르면, 다음 전개는 이러해야 했다: 해커는 자산을 Tornado Cash에 송금하여 익명화하고, 수많은 점프 주소를 통해 분할 세탁하여 최종적으로 전체 세탁 및 출금 과정을 완료해야 했다. 그러나 이 공격자는 비정상적인 경로를 선택했다.

공격 발생 약 48시간 후, 해커는 1,620개의 ETH를 약 673만 개의 DAI로 교환했다. 이는 시장이 예상한 첫 번째 "출고" 신호여야 했고, 여러 온체인 분석가들도 즉시 이 온체인 행동을 주목했지만, 이후 6개월 동안 이 주소의 행동 패턴은 직업 해커의 냉정함과 은폐에서 완전히 벗어나 오히려 체인 상에서 미친 거래를 시작했다.

Arkham의 온체인 데이터 추적에 따르면, 해당 주소는 불과 6개월 만에 625건의 거래 기록을 누적했으며, 활동은 탈중앙화 거래 플랫폼 CoW Swap에 집중되었다. 거래 대상은 WETH와 DAI 사이에서 빈번하게 오갔으며, 거래 빈도는 일반적인 장기 보유자보다 훨씬 높았다. 따라서 그를 1천만 달러를 훔친 해커라기보다는 거래자, 혹은 "하락세에 진입하고, 변동성을 견디며, 원가선에 가까워질 때 출구를 찾는" 개인 투자자에 가깝다고 할 수 있다.

거래 수준이 부족하다: 한때 400만 달러 이상의 손실, 반년 동안 거의 제자리걸음

Arkham의 손익 추적 데이터에 따르면, 2025년 10월부터 2026년 2월 초까지 공격자 주소의 장부 자산은 여러 차례 300만 달러 이상의 손실을 기록했다; 2월에 들어서면서 손실은 최고 480만 달러에 달했다. 그의 거래 패턴은 매우 일관되었다: 저점에서 계속 매수하고, 변동 속에서 버티며, 가격이 겨우 원가선 근처로 회복될 때까지 기다렸다가 출구를 선택했다.

3월 하순에 이르러서야 이 해커는 전환점을 맞이했다. 그는 CoW Swap에서 2,150달러의 평균가로 5,496개의 ETH를 약 1,186만 개의 DAI로 교환했으며, 이 거래는 그에게 약 93.5만 달러의 장부 이익을 가져다주었고, 전체 투자 포트폴리오는 드디어 손익 분기선으로 돌아왔다. 그러나 동시에 보유하고 있던 WBTC 포지션이 이익을 잠식하고 있었고, 해커는 2026년 1월 30일 평균가 83,225달러로 203개의 WBTC를 매입했으며, 최근까지 약 268만 달러의 손실을 보고했다. 이 매입 시점은 시장의 짧은 반등 고점에 정확히 맞아떨어졌고, 그는 다시 한 번 상대적으로 높은 가격에 매입하게 되었다.

투명한 감옥과 긴 회복의 길

UXLink 사건은 암호 범죄 역사에 독특한 시각을 제공한다: 한 공격자가 조명 아래에서 지속적으로 높은 가시성의 거래 경로를 남겨, 전 세계의 온체인 분석가들이 그의 행동 과정을 완전하게 기록할 수 있게 했다.

이는 아마도 해커의 실수가 아니라 "안전"에 대한 구식 인식에서 비롯된 것일 수 있다. 그는 자산을 여러 주소에 분산시키고 DEX에서 거래하여 CEX의 실명 인증 장벽을 피하면 은폐를 유지할 수 있다고 생각했을지도 모른다. 그러나 온체인 분석 도구의 진화 속도는 이러한 판단을 지나치게 낙관적으로 보이게 했다. Arkham, Lookonchain, PeckShield 및 만안과 같은 기관들은 거의 즉시 모든 대규모 이상 움직임을 감지했으며, 해커의 모든 출입은 대중의 주목 아래에서 완전히 드러났다. 이 해커는 1천만 달러를 소유하고 있었지만, 마치 투명한 디지털 감옥에 갇힌 듯한 상황이었다.

UXLink 프로젝트 측에게 이 상황은 다소 위안이 되기도 하고, 큰 곤경이기도 하다. 자산은 사라지지 않았고 여전히 추적 가능한 블록체인에 존재하지만, 사법 관할권의 개입이 없는 온체인 세계에서 "보이는 것"과 "되찾을 수 있는 것" 사이에는 여전히 넘기 어려운 간극이 존재한다.

비록 UXLink는 사건 이후 신 계약 감사, 토큰 교환 및 사용자 보상 계획을 신속하게 완료하여 시장 신뢰를 재건하려 했지만, 토큰 가격은 2024년 12월의 고점 3.75달러에서 약 0.0044달러로 떨어졌고, 하락폭은 99%에 달했다. UXLink에게 코드 취약점을 수정하는 데는 몇 주가 걸릴 수 있지만, 거의 제로에 가까운 폐허에서 생태계를 재건하는 길은 여전히 길고 힘들다.

하락장 앞에서 모두에게 공평하다

UXLink 해커의 이야기는 "시장 현실"의 축소판이 되었으며, 단순한 보안 사고가 아니다.

비록 그가 정교한 기술을 가지고 delegateCall의 취약점을 정확히 포착하고 다중 서명 방어를 우회하여 몇 시간 안에 치밀한 수확을 완료할 수 있었지만, 자금이 입금된 후 그가 직면한 것은 일반 개인 투자자와 다를 바 없는 곤경이었다: 시장은 자금이 어디서 왔는지에 관심이 없으며, ETH는 보유 기간 동안 여전히 하락하고, BTC는 매입 후에도 여전히 손실을 보고 있다.

이 결말은 연민의 여지가 없지만, 아이러니로 가득 차 있다. 공격자가 애써 탈취한 자산은 결국 시장의 변동 속에서 소모되었고, 반년 후 장부 가치는 입장할 때와 거의 차이가 없었다. 그는 하락장에서 손실을 본 첫 번째 ETH 보유자가 아니며, 시장에서 WBTC를 저가 매입할 때 반격을 당한 마지막 투기꾼도 아니다.