제타체인, 33만 4,000달러 규모 익스플로잇 발생... 사전에 경고된 취약점 무시가 피해 키웠다

2026년 4월 26일, 제타체인(ZetaChain)은 팀 관련 지갑에서 약 33만 4,000달러가 유출되는 타겟형 익스플로잇 공격을 받았다. 이번 손실은 프로토콜 보안팀이 몇 주 전 공식 채널을 통해 접수된 특정 취약점 보고를 기각했다는 사실이 밝혀지면서 충분히 예방 가능했던 사고라는 지적을 받고 있다.

해커는 실행 전 각 타겟의 허용 상태와 토큰 잔액을 신중하게 사전 검증했다.

공격자는 4개의 서로 다른 체인에 걸쳐 팀 지갑을 탈취하기 위해 '연쇄적 취약점(chained vulnerability)'을 이용했다. 포스트모템 결과에 따르면, 공격자는 단 한 번의 목적지 실패 없이 모든 자금 인출에 성공했으며 이는 매우 정밀하게 계획된 공격임을 시사한다.

무시된 경고: 기각된 버그 리포트의 비극

이번 사고의 핵심은 한 화이트햇 보안 연구원이 이머뉴파이(Immunefi)를 통해 GatewayEVM 컨트랙트의 결함을 정확히 지목했다는 점이다. 그러나 제타체인 보안팀은 해당 보고를 기각 처리했으며, 결과적으로 공격자가 동일한 경로를 통해 자금을 탈취하는 것을 방치하게 되었다.

• 이머뉴파이를 통한 공식 버그 리포트 제출 및 기각
• GatewayEVM 컨트랙트 내 연쇄적 설계 결함 방치
• 공격자에 의한 팀 지갑 자산 333,868달러 탈취
• 사고 발생 후 교차 체인 트랜잭션 긴급 중단

기술적으로 이번 공격은 GatewayEVM 컨트랙트의 논리 구조를 우회하여 자금 인출 권한을 획득하는 방식으로 수행되었다. 설계상의 허점을 이용해 여러 체인에 분산된 자산을 동시에 공격한 점이 특징이며, 이는 프로토콜의 근본적인 보안 아키텍처에 의문을 제기하게 만든다.

제타체인 측은 사고 감지 직후 모든 교차 체인 활동을 일시 중단하는 긴급 조치를 취했다. 다행히 이번 공격은 팀 관련 지갑에 국한되었으며, 일반 사용자들의 자금으로 피해가 확산되는 것은 방지할 수 있었다.

시장 반응과 ZETA 토큰의 변동성

보안 사고 소식에도 불구하고 ZETA 토큰은 24시간 동안 16.44% 상승한 0.0556달러를 기록하는 기현상을 보였다. 이는 거래량이 1,273% 급증하며 4,000만 달러를 상회한 데 따른 '유동성 이벤트' 성격이 강한 것으로 분석된다.

그러나 장기적인 관점에서 ZETA 토큰은 출시 이후 가치의 96% 이상을 상실한 상태이며, 이번 보안 사고는 투자자들의 신뢰를 더욱 위축시킬 가능성이 크다. 사고 직후 일시적으로 4.8% 하락하며 0.054달러 선에서 거래되기도 하는 등 시장은 극심한 혼조세를 보였다.

보안 관리 체계의 비용과 향후 과제

• 전체 기술 포스트모템 보고서 공개 예정
• 버그 리포트를 제출했던 연구원에 대한 보상 검토
• GatewayEVM 컨트랙트의 보안 업데이트 및 재감사
• 교차 체인 기능의 단계적 복구 및 보안 강화

이번 사건은 보안 연구원과 프로토콜 운영사 간의 소통 부재가 초래할 수 있는 막대한 비용을 여실히 보여준다. 유효한 버그 리포트를 기각하는 행위는 향후 화이트햇 연구원들의 참여 의지를 꺾고, 프로토콜의 평판에 치명적인 타격을 입히는 결과를 낳는다.

제타체인은 이번 사고를 계기로 보안 관리 프로세스를 전면 재검토해야 하는 과제를 안게 되었다. 특히 버그 바운티 프로그램을 통해 접수되는 제보에 대한 검증 전문성을 강화하고, 유사한 설계 결함이 재발하지 않도록 인프라를 보완하는 것이 시급하다.