Polymarket 프론트엔드에 대한 피싱 공격은 탈중앙화 금융에서 가장 지속적인 취약점 중 하나인 공급망을 드러냈다. 공격자들이 수백만 달러를 탈취하기 위해 프로토콜의 스마트 컨트랙트를 뚫을 필요가 없을 때, 그들은 인기 플랫폼 코드의 백그라운드에 조용히 자리 잡고 있는 서드파티 벤더를 침해하기만 하면 된다.
Summary
핵심 요약
- 침해된 서드파티 벤더가 Polymarket 프론트엔드에 악성 코드를 주입해 피싱 공격을 가능하게 했고, 이로 인해 최소 11개의 사용자 지갑에서 약 294만 달러가 도난당했다.
- Polymarket는 악성 의존성을 제거하고 침해를 차단했으며, 영향을 받은 모든 사용자에게 전액 환불을 약속했다.
- 블록체인 분석가 Specter는 도난당한 PUSD가 ETH로 스왑된 뒤 단일 주소로 모였음을 확인했다.
- DefiLlama는 이번 사건을 2026년 2분기 89번째 암호화폐 보안 침해로 기록했으며, 이는 해당 플랫폼 기록상 분기별 최다 사건 수다.
- DefiLlama에 따르면 2026년 6월에는 29건의 익스플로잇으로 인해 총 7,490만 달러의 손실이 발생했다.
Polymarket 프론트엔드 피싱 공격 상세
Polymarket 피싱 공격은 플랫폼의 스마트 컨트랙트나 핵심 인프라의 결함을 악용한 것이 아니었다. 대신 공격자들은 측면 통로를 이용했다. 침해된 접근 권한을 통해 Polymarket 프론트엔드 인터페이스에 악성 스크립트를 직접 주입할 수 있었던 서드파티 벤더였다.
이 차이는 중요하다. 평소와 다를 바 없어 보이는 Polymarket 인터페이스와 상호작용하던 사용자들은, 연결된 지갑의 자금을 훔치도록 설계된 코드에 자신도 모르게 노출되었다. 공격 벡터는 조용했고, 보이지 않았으며, 효과적이었다.
서드파티 벤더를 통한 악성 코드 주입
Polymarket는 X에서 이번 사건을 공개하며, 서드파티 벤더가 침해되어 일부 사용자에 대해 플랫폼 프론트엔드에 악성 스크립트를 푸시하는 데 사용되었다고 확인했다. 플랫폼은 사건의 진행 과정을 간단히 설명했다. 발견, 차단, 제거, 환불.
“오늘 아침 우리는 한 서드파티 벤더가 침해되어 일부 사용자에 대해 우리 프론트엔드에 악성 스크립트를 주입하고 있음을 발견했습니다. 우리는 이를 차단했고 영향을 받은 의존성을 제거했습니다. 현재 영향을 받은 사용자들에게 연락해 전액 환불을 진행하고 있습니다.”라고 Polymarket Traders는 2026년 6월 25일에 게시했다.
블록체인 분석가 Specter는 이번 사건을 직접적인 프로토콜 익스플로잇이 아닌 피싱 캠페인으로 분류했다. 주입된 스크립트는 사용자가 침해된 인터페이스와 상호작용하기를 기다렸다가, 활성화되어 연결된 지갑에서 자금을 빨아들였다.
공격 영향 및 피해 지갑
Specter는 최소 11개의 피해 지갑에서 약 294만 달러가 유출된 것으로 추산했다. PUSD로 보유되던 도난 자산은 ETH로 스왑된 뒤 단일 통합 주소로 모였는데, 이는 디파이 도난 이후 신속한 자금 세탁 시도에서 흔히 보이는 패턴이다.
손실 규모는 프론트엔드 레벨 공격이 얼마나 효과적일 수 있는지를 잘 보여준다. 비교적 적은 수의 지갑만 침해되었음에도, 달러 기준 영향은 거의 300만 달러에 달했으며, 이는 일부 사용자가 예측 시장 플랫폼에 보유하고 있던 포지션 규모를 반영한다.
플랫폼 대응 및 사용자 보상
Polymarket는 침해가 확인되자 신속히 움직였다. 악성 의존성이 제거되었고, 사건은 차단되었으며, 플랫폼은 영향을 받은 모든 사용자를 완전히 보상하겠다고 약속했다.
사건 차단 및 악성 의존성 제거
대응은 명확하고 투명한 순서를 따랐다. 침해된 구성 요소를 격리하고, 플랫폼에서 제거하며, 대중에게 소통하는 것이다. Polymarket는 사용자가 먼저 나서기를 기다리지 않고, 영향을 받은 사용자들에게 직접 적극적으로 연락하고 있다고 확인했다.
이러한 접근 방식 — 선제적 연락과 전액 환불 약속의 결합 — 은 디파이 플랫폼들이 사용자 신뢰가 한 번 깨지면 잃어버린 달러 금액보다 훨씬 복구하기 어렵다는 점을 점점 더 잘 이해하고 있음을 보여준다.
영향을 받은 사용자에 대한 전액 환불 약속
영향을 받은 모든 사용자에 대한 전액 보상 약속은 의미가 크다. 이러한 환불의 정확한 시점과 분배 메커니즘은 명시되지 않았지만, 공개적인 약속은 Polymarket의 평판을 직접적으로 걸어두는 것이다. 사용자 참여와 유동성에 의존하는 예측 시장 플랫폼에게 이러한 책임성은 재정적이면서 동시에 전략적이다.
암호화폐 보안 내에서 이번 침해의 맥락
Polymarket 사건은 고립된 채로 발생한 것이 아니다. 이미 암호화폐 보안 실패에 있어 달갑지 않은 기록을 세운 분기 안에서 벌어진 일이다.
DefiLlama, 2026년 2분기 암호화폐 보안 침해 기록 경신 보고
DefiLlama는 Polymarket 침해를 2026년 2분기 89번째 암호화폐 보안 사건으로 기록했으며, 이는 분석 플랫폼이 지금까지 추적한 것 중 분기별 최다 사건 수다. 이 수치만으로도 시스템적 문제를 시사한다. 더 많은 공격이, 더 자주, 더 넓은 범위의 플랫폼과 벡터를 가로질러 발생하고 있다.
DefiLlama에 따르면 지난 30일 동안 발생한 익스플로잇 손실의 43%는 프라이빗 키 유출에서 비롯되었다. 가짜 증명(페이크 프루프) 익스플로잇은 손실의 10%를, 역 MEV 허니팟은 8%를 차지했다. 프라이빗 키나 프로토콜 결함이 아닌 프론트엔드 공급망 침해에서 비롯된 Polymarket 공격은, 전통적인 벡터에 대한 방어가 강화됨에 따라 공격자들이 수법을 다변화하고 있음을 보여준다.
2026년 6월 익스플로잇 및 손실 개요
DefiLlama는 2026년 6월 한 달 동안에만 29건의 암호화폐 익스플로잇으로 인한 7,490만 달러의 손실을 보고했다. 이 수치는 5월의 6,050만 달러를 웃돌았지만, 올해 가장 큰 개별 디파이 도난 사건들이 포함된 4월의 6억 4,400만 달러에는 크게 못 미쳤다.
6월의 단일 최대 사건은 Humanity Protocol을 겨냥한 3,600만 달러 익스플로잇이었다. 그 밖의 주목할 만한 공격으로는 Secret Network 브리지를 겨냥한 470만 달러 익스플로잇, Aztec에 영향을 준 두 건의 각각 210만 달러 익스플로잇, Taiko 브리지에 대한 170만 달러 익스플로잇이 있었다. 이러한 배경 속에서 Polymarket의 294만 달러 손실은 6월 사건들 중 중간 규모에 해당하지만, 그 수법과 맥락은 특히 시사하는 바가 크다.
Polymarket의 이전 보안 사건
6월 프론트엔드 공격은 이번 분기 Polymarket가 보안 관련 헤드라인에 오른 첫 사례가 아니다. 약 한 달 전, 플랫폼은 훨씬 오래된 취약점과 관련된 별도의 침해를 공개했다.
6년 된 프라이빗 키 유출로 인한 60만 달러 손실
공격자들은 내부 충전(톱업) 운영 지갑에 연결된 6년 된 프라이빗 키를 악용해 약 60만 달러를 탈취했다. 보안 연구원 ZachXBT, PeckShield, Bubblemaps는 처음에 Polygon 상의 Polymarket UMA CTF Adapter 컨트랙트를 둘러싼 의심스러운 활동을 포착했다. Bubblemaps는 공격자들이 30초마다 5,000 POL을 인출했다고 지적했으며, 이후 총 손실액은 약 60만 달러로 추산되었다.
사건 근본 원인 및 플랫폼 안전성에 대한 설명
이전 사건에 대해 Polymarket 프로토콜 기여자 Shantikiran Chanal은, 문제가 플랫폼의 컨트랙트나 핵심 인프라의 결함이 아니라 내부 운영에만 사용되던 지갑의 침해에서 비롯된 것이라고 설명했다. 엔지니어링 부사장 Josh Stevens는 사용자 자금과 스마트 컨트랙트는 내내 안전했으며, 침해된 키와 연결된 모든 권한이 철회되었다고 확인했다.
한 달 간격으로 전혀 다른 공격 벡터 — 하나는 잊혀진 프라이빗 키, 다른 하나는 침해된 공급망 벤더 — 를 사용한 두 건의 별도 사건은, 급속한 성장과 함께 누적된 레거시 보안 부채를 동시에 관리해야 하는 플랫폼의 어려운 현실을 보여준다. 특히 프론트엔드 피싱 공격은 많은 디파이 플랫폼이 공유하지만 아직 완전히 강화하지 못한 위험 범주, 즉 인터페이스에서 실행되는 서드파티 코드에 부여된 묵시적 신뢰를 부각시킨다.
FAQ
Polymarket 피싱 공격은 어떻게 발생했나요?
공격자들은 서드파티 벤더를 침해해 Polymarket 프론트엔드 인터페이스에 악성 코드를 주입했다. 사용자가 침해된 인터페이스와 상호작용하면 스크립트가 활성화되어 연결된 지갑에서 직접 자금을 훔쳤다.
Polymarket 피싱 공격에서 얼마가 도난당했고, 몇 명의 사용자가 영향을 받았나요?
약 294만 달러가 최소 11개의 사용자 지갑에서 도난당했다. 도난당한 PUSD는 ETH로 스왑된 뒤 블록체인 분석가 Specter가 확인한 단일 지갑 주소로 통합되었다.
Polymarket는 피싱 공격에 어떻게 대응했나요?
Polymarket는 악성 의존성을 제거하고, 사건을 차단했으며, 영향을 받은 모든 사용자에게 전액 환불을 약속했다. 또한 플랫폼은 영향을 받은 사용자들에게 직접 연락하고 있다고 밝혔다.
이번 공격의 더 넓은 암호화폐 보안 트렌드 내 맥락은 무엇인가요?
이번 공격은 DefiLlama에 의해 2026년 2분기 89번째 암호화폐 보안 침해로 기록되었으며, 이는 분기별 사건 수 기준 최고 기록이다. 2026년 6월 한 달 동안만 29건의 익스플로잇으로 7,490만 달러의 손실이 발생했으며, 최근 익스플로잇 손실의 43%는 프라이빗 키 유출에서 비롯되었다.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Polymarket 피싱 공격은 어떻게 발생했나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”공격자들은 서드파티 벤더를 침해해 Polymarket 프론트엔드 인터페이스에 악성 코드를 주입했습니다. 사용자가 침해된 인터페이스와 상호작용하면 스크립트가 활성화되어 연결된 지갑에서 직접 자금을 훔쳤습니다.”}},{“@type”:”Question”,”name”:”Polymarket 피싱 공격에서 얼마가 도난당했고, 몇 명의 사용자가 영향을 받았나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”약 294만 달러가 최소 11개의 사용자 지갑에서 도난당했습니다. 도난당한 PUSD는 ETH로 스왑된 뒤 블록체인 분석가 Specter가 확인한 단일 지갑 주소로 통합되었습니다.”}},{“@type”:”Question”,”name”:”Polymarket는 피싱 공격에 어떻게 대응했나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Polymarket는 악성 의존성을 제거하고, 사건을 차단했으며, 영향을 받은 모든 사용자에게 전액 환불을 약속했습니다. 또한 플랫폼은 영향을 받은 사용자들에게 직접 연락하고 있다고 밝혔습니다.”}},{“@type”:”Question”,”name”:”이번 공격의 더 넓은 암호화폐 보안 트렌드 내 맥락은 무엇인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”이번 공격은 DefiLlama에 의해 2026년 2분기 89번째 암호화폐 보안 침해로 기록되었으며, 이는 분기별 사건 수 기준 최고 기록입니다. 2026년 6월 한 달 동안만 29건의 익스플로잇으로 7,490만 달러의 손실이 발생했으며, 최근 익스플로잇 손실의 43%는 프라이빗 키 유출에서 비롯되었습니다.”}}]}
이 기사는 인공지능의 도움을 받아 제작되었으며, 편집팀의 검수를 거쳤습니다.
