슬로우미스트: 코드 한 줄이 빠진 탓에 DIP 토큰에서 11만 1천 달러가 유출됐다

• 주요 내용: </span></p>
• <ul>
• <li><span style="font-weight: 400;">슬로우미스트는 DIP 토큰 코드에서 return 문이 누락되어 약 111,098달러 상당의 USDC가 유출되었다고 밝혔다. </span></li>
• <li><span style="font-weight: 400;">이 결함으로 인해 팬케이크스왑(Pancakeswap)을 통한 전송량이 두 배로 증가했으며, 이는 슬로우미스트가 올해 기록한 2,150건 이상의 사고에 더해. </span></li>
• <li><span style="font-weight: 400;">2026년 DeFi는 악용 공격으로 10억 달러 이상을 손실했으며, 이에 따라 하반기에도 감사 수요가 높은 수준을 유지할 전망이다.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

두 번 실행된 전송

Slowmist는 위협 인텔리전스 경보를 통해 이 사건을 보고하며, 손실액을 111,097.6 USDC로 추산했다. 이 회사는 DIP 토큰의 “_transfer()” 함수에서, 팬케이크스왑 라우터(탈중앙화 거래소가 유동성 풀을 통해 토큰을 교환하는 데 사용하는 서비스)를 통해 전송되는 거래를 처리하는 분기 부분에 “return” 문이 누락되어 있었다고 설명했습니다. 팀은 다음과 같이 덧붙였습니다:

"공격자는 `skim(router)`를 호출해 DIP 토큰을 두 번 전송하도록 유발한 뒤, `sync()`를 호출해 DIP 준비금을 극히 낮은 값으로 설정하고, AMM 가격을 조작하여 풀 자금을 탈취했습니다."

상세한 분석에도 불구하고, Slowmist는 공격자의 신원을 밝히지 않았으며 도난당한 자금이 조만간 회수될 수 있을지에 대해서도 언급하지 않았습니다. Pancakeswap과 같은 탈중앙화 거래소가 트레이더와 유동성 풀 간에 토큰을 이동시키기 위해 자동화된 라우터 계약에 의존한다는 점을 고려할 때, 이번 공격의 전체적인 작동 방식은 상당히 평범해 보입니다. 토큰은 자체 전송 함수에 사용자 정의 로직을 자유롭게 추가할 수 있지만, 해당 로직이 라우터와의 상호작용을 잘못 처리할 경우 의도하지 않은 반복적인 지급이 발생할 수 있는 여지가 생깁니다. DIP의 경우, 누락된 “return” 문으로 인해 한 번의 전송 후 중단되어야 할 코드가 계속 실행되어 두 번째 전송까지 이루어졌습니다. 라우터를 거친 각 거래마다 사실상 두 번의 지급이 이루어졌으며, 이로 인해 풀에서 USDC가 은밀하게 유출되었습니다. 이 버그가 작동하는 데에는 플래시 론, 오라클 조작, 도난당한 키 등이 필요하지 않았습니다(단순히 토큰 자체 코드의 결함만으로도 충분했습니다). 이러한 라우터를 인식하고 전송 시 수수료를 부과하는 토큰은 바이낸스 연계 체인에서 흔히 볼 수 있는데, 이곳의 프로젝트들은 종종 표준 토큰 템플릿에 추가 기능을 덧씌우곤 합니다. 추가된 각 분기마다 실수가 숨을 수 있는 또 다른 공간이 생기며, 자동 스왑은 누군가 알아차리기 전까지 그 실수를 수천 번이나 유발할 수 있습니다.

DeFi에 있어 비용이 많이 든 2026년의 일부

DIP의 손실 규모는 올해 주목받은 주요 보안 침해 사건들에 비하면 미미하지만, 끊임없이 이어지는 코드 수준의 실패 사례 중 하나에 해당합니다. 슬로우미스트(Slowmist)의 공개 해킹 데이터베이스만 해도 2,150건 이상의 사고와 약 378억 달러의 누적 손실을 기록했습니다. 최근 며칠 동안 이 추적기는 테타너츠 파이낸스(Thetanuts Finance)에서 10만 5천 달러의 손실과 아즈텍 커넥트(Aztec Connect)에서 210만 달러 규모의 악용 사례를 기록했습니다.

더 구체적으로 살펴보면, 스마트 계약 버그가 올해 발생한 피해의 상당 부분을 차지한 것으로 나타났으며, 디파이(DeFi) 프로토콜들은 해킹 및 악용으로 인해 10억 달러 이상의 손실을 입었습니다(지난달 기준). 슬로우미스트(Slowmist)는 아즈텍 커넥트(Aztec Connect)의 자금 유출 원인을 더 이상 사용되지 않는 계약으로 추적했으며, 그록-뱅크(Grok-Bankr)에서 발생한 174,570달러 규모의 도난 사건은 이체를 승인하도록 속아 넘어간 인공지능(AI) 에이전트 때문인 것으로 지목했다.

마지막으로, Bitcoin.com News는 올해 초 슬로우미스트가 제타체인(Zetachain)의 GatewayZEVM 계약에서 누락된 접근 제어 기능을 발견한 후, 제타체인이 메인넷 운영을 일시 중단했다고 보도한 바 있습니다. 이는 단 하나의 논리적 허점이 공격자들에게 침투의 기회를 제공한 또 다른 사례입니다.

회복이 확인되지 않았고 공격자의 신원도 여전히 밝혀지지 않은 가운데, 이번 DIP 사건은 단 한 줄의 누락만으로도 풀 자금을 모두 털어갈 수 있다는 반복되는 교훈을 다시금 일깨워주며, DeFi 손실이 증가함에 따라 독립적인 감사가 여전히 주요 방어선임을 강조하고 있다.