탈중앙 예측시장 플랫폼 폴리마켓이 제3자 서비스 업체 해킹으로 웹사이트가 공격받아 이용자 약 300만달러 규모의 자산이 탈취됐다고 밝혔다. 회사는 피해 이용자 전원에 대한 보상 절차에 착수했다.
25일(현지시간) 디크립트에 따르면 이번 공격은 폴리마켓의 제3자 서비스 공급업체가 해킹되면서 발생했다. 공격자는 해당 업체를 통해 폴리마켓 웹사이트 프런트엔드에 악성 코드를 삽입한 뒤 일부 이용자의 지갑에서 자산을 탈취했다.
온체인 분석업체 버블맵스(Bubblemaps)는 이번 공격으로 피해를 입은 계정은 15개 미만이며 탈취 규모는 약 300만달러로 추산된다고 분석했다.
폴리마켓은 "현재 악성 코드를 제거했으며 웹사이트 보안 문제도 해결했다. 영향을 받은 모든 이용자에게 전액 환불을 진행하고 있다"고 밝혔다.
공격자는 폴리마켓 거래에 사용되는 미국 달러화 연동 스테이블코인 pUSD를 이용자 지갑에서 탈취한 뒤 이를 이더리움(ETH)으로 교환해 하나의 지갑으로 옮긴 것으로 파악됐다. pUSD는 써클의 미국 달러화 스테이블코인 USDC를 담보로 발행되는 폴리마켓 전용 스테이블코인이다.
이번 사고는 폴리마켓의 핵심 프로토콜이 아닌 외부 서비스 공급망을 노린 공격으로 확인됐다. 핵심 시스템이 아닌 협력업체를 우회해 이용자 자산을 탈취했다는 점에서 공급망 보안의 중요성이 다시 부각되고 있다.
폴리마켓은 지난달에도 직원 보상 지급용 지갑이 개인키 유출로 추정되는 공격을 받아 약 70만달러의 피해를 입었다. 당시에는 회사 내부 인프라나 이용자 자산에는 직접적인 영향이 없는 것으로 파악됐지만 두 달 연속 보안 사고가 발생하면서 보안 관리 체계에 대한 우려도 커지고 있다.