USPD 스테이블코인 프로토콜이 CPIMP 공격으로 100만 달러 이상 유출되며 심각한 보안 침해를 겪었습니다. 탈중앙화 금융(DeFi)의 안정성과 스마트 컨트랙트 보안에 대한 경고음이 울리는 가운데, 이번 해킹 사건의 원인과 사용자 주의사항을 분석합니다.
탈중앙화 금융(DeFi) 프로토콜 USPD 스테이블코인에서 100만 달러 이상의 유동성이 유출되는 심각한 보안 침해 사건이 발생했습니다. 해커는 약 3,122 ETH를 담보로 예치 후 버그를 악용, 9,800만 USPD 토큰을 승인 없이 발행하고 237 stETH를 추가 탈취했습니다. 탈취된 USPD는 탈중앙화 거래소 커브(Curve)를 통해 약 30만 달러 상당의 USDC로 전환되었습니다. USPD 팀은 즉시 사용자들에게 USPD 구매 중단 및 모든 승인(approvals)을 철회하라고 경고했습니다. 이번 공격은 ‘CPIMP(Clandestine Proxy In the Middle of Proxy)’라는 복잡한 공격 벡터를 통해 이루어졌으며, 해커는 2025년 9월 16일 배포 시 멀티콜3(Multicall3) 거래를 이용해 프록시 초기화를 선점, 수개월간 잠복 후 ‘그림자 계약(shadow contract)’으로 관리자 권한을 장악해 코인을 발행했습니다. USPD 측은 @NethermindEth 등 최고 수준의 보안 감사를 받았으며 스마트 컨트랙트 로직 자체에는 결함이 없음을 강조, 배포 과정의 취약점을 노린 공격임을 시사하며 DeFi 보안에 대한 경각심을 높였습니다.
📚 용어 설명
- **스테이블코인 (Stablecoin):** 가격 변동성을 최소화하기 위해 특정 자산(예: 법정화폐)에 가치를 고정한 암호화폐.
- **DeFi (탈중앙화 금융):** 중개인 없이 블록체인 기술로 금융 서비스를 제공하는 시스템.
- **스마트 컨트랙트 (Smart Contract):** 블록체인에 저장되어 미리 정해진 조건에 따라 자동으로 실행되는 계약 코드.
- **프록시 (Proxy):** 실제 컨트랙트 대신 호출을 받아 전달하는 중개자 역할을 하는 컨트랙트.
- **유동성 (Liquidity):** 자산을 손실 없이 빠르게 현금으로 전환할 수 있는 정도.
키워드: USPD, 스테이블코인, DeFi, 해킹, 스마트 컨트랙트 보안