Edgen Crypto·Nov 05 2025, 16:17한 암호화폐 사용자가 악성 '허가' 서명 익스플로잇으로 30만 달러 이상의 aBasUSDC 토큰을 잃었으며, 이는 Web3 승인 메커니즘의 지속적인 취약성을 강조하고 새로운 보안 경고를 촉발했습니다.
Scam Sniffer의 2025년 11월 5일 보고에 따르면, 한 암호화폐 사용자가 악성 '허가' 서명을 실행한 후 304,595달러 상당의 aBasUSDC 토큰을 잃었으며, 이는 분산형 금융의 지속적인 보안 문제를 강조합니다.
2025년 11월 5일, 한 사용자가 304,595달러 상당의 aBasUSDC 토큰을 잃었다고 보고되었습니다. Scam Sniffer에 의해 밝혀지고 PANews에 의해 후속 보도된 이 사건은 사용자가 사기성 '허가' 서명에 서명한 것과 관련이 있습니다. 이 공격 방법은 사용자가 특정 거래에 대한 명시적인 지식이나 의도 없이 디지털 자산의 전송을 승인하도록 속입니다.
EIP-2612를 통해 ERC20 프로토콜에 도입된 '허가' 기능은 사용자가 토큰 전송에 대한 오프체인 승인을 부여할 수 있도록 합니다. 일반적으로 이 기능은 계정(소유자)이 지정된 수신자(스펜더)를 위해 승인 서명을 생성하여 수신자가 소유자의 온체인 거래 없이 transferFrom 호출을 시작하는 것과 같은 승인된 작업을 수행할 수 있도록 합니다. 서명에는 소유자, 스펜더, 가치 및 마감일과 같은 매개변수가 포함됩니다. 효율성을 위해 설계된 이 메커니즘은 사용자가 악성 승인에 서명하도록 속이면 악용될 수 있습니다.
이 익스플로잇은 Web3 생태계, 특히 토큰 승인 메커니즘 내의 중요한 취약성을 강조합니다. 이 사건에 앞서, 2025년 9월 30일에는 두 명의 사용자가 악성 Uniswap Permit2 서명에 서명한 후 155,000달러 상당의 aBascbBTC와 90,000달러 상당의 XAUt를 잃는 등 다른 상당한 손실이 있었습니다. 이러한 사건은 합법적인 프로토콜 기능을 불법적인 이득을 위해 활용하는 공격의 정교함이 증가하고 있음을 강조합니다.
광범위한 시장 심리는 여전히 조심스럽습니다. 2025년 상반기 동안 해커 공격, 피싱 사기 및 러그 풀로 인한 Web3 부문 전체 손실은 약 21억 3천 8백만 달러에 달합니다. Beosin Alert의 모니터링에 따르면 같은 기간 동안 90건의 주요 공격 사건이 기록되었으며, 총 손실은 20억 9천 3백만 달러에 달했습니다. 2025년 11월 3일 Balancer V2 익스플로잇에서 1억 2천 8백만 달러 이상이 도난당하는 등 이러한 사건들은 분산형 금융 플랫폼의 보안 및 무결성에 대한 투자자들의 우려를 더욱 증폭시킵니다.
GoPlus와 같은 보안 플랫폼은 사용자에게 극도의 경계를 유지하고 엄격한 보안 프로토콜을 준수할 것을 권고합니다. 여기에는 알 수 없는 링크를 피하고, 검증되지 않은 소프트웨어를 설치하지 않으며, 알 수 없는 거래 내용에 서명할 때 주의하고, 검증되지 않은 주소로 자금을 이체하지 않는 것이 포함됩니다. Web3 사기 방지 플랫폼인 Scam Sniffer는 오프체인 및 온체인 데이터 분석의 조합을 통해 실시간 보호를 제공하여 이러한 위협을 적극적으로 모니터링합니다. 이들의 보안 솔루션은 Binance, Bybit, OneKey, Phantom, TokenPocket을 포함한 주요 지갑에서 사용되며, 수백만 명의 사용자를 피싱 및 사기로부터 보호하는 것을 목표로 합니다.
이러한 익스플로잇의 반복적인 특성은 개인 사용자 및 Web3 프로젝트 팀 모두에게 지속적인 경계를 요구합니다. '허가' 기능은 거래 효율성을 제공하지만, 그 악용은 빠르게 진화하는 기술 환경에서 디지털 자산을 보호하는 지속적인 과제를 강조합니다. 이 사건은 고급 Web3 지갑 기능 및 승인 프로토콜과 관련된 위험을 완화하기 위해 거래 세부 정보를 신중하게 확인하고 신뢰할 수 있는 보안 도구를 사용하는 것을 포함한 강력한 보안 관행의 필요성을 재차 강조합니다.
