솔라나 기반 디파이 프로토콜 드리프트가 소셜 엔지니어링과 듀러블 넌스 악용이 결합된 공격으로 약 2억7000만달러 자산을 탈취당했다고 전했다.
스마트컨트랙트 취약점이 아닌 운영 보안 실패로 드러나며 솔라나 생태계 전반의 멀티시그 구조 재검토 필요성이 커졌다고 밝혔다.
드리프트, 2억7000만달러 유출…솔라나 ‘듀러블 넌스’ 악용 파장 / TokenPost.ai
솔라나 기반 디파이(DeFi) 프로토콜 드리프트(Drift Protocol)가 약 2억7000만달러(약 4조7500억원) 규모 자산 유출 피해를 입었다. 전통적인 해킹이 아닌 ‘소셜 엔지니어링’과 솔라나 기능인 ‘듀러블 넌스(durable nonce)’ 악용이 결합된 사례라는 점에서 파장이 크다.
이번 공격은 취약점이나 개인키 탈취 없이 진행됐다. 공격자는 솔라나의 거래 기능을 활용해 드리프트 보안위원회가 ‘미리 승인’한 거래를 수주 뒤 실행했다. 실행 자체는 1분도 걸리지 않았지만, 준비 과정은 일주일 이상 이어졌다.
‘듀러블 넌스’가 만든 시간차 공격솔라나에서는 모든 거래에 ‘최근 블록 해시’가 포함되며, 이는 약 60~90초 후 만료된다. 오래된 거래 재사용을 막기 위한 안전장치다. 반면 듀러블 넌스는 이 만료 구조를 제거하고, 별도 온체인 계정에 저장된 일회용 코드로 거래를 ‘무기한 유효’ 상태로 만든다.
이 기능은 기관 수탁이나 오프라인 서명 환경에 필요하지만, 승인 시점과 실행 시점을 분리할 수 있다는 점에서 위험 요소로 꼽힌다. 한 번 서명하면 이용자가 이를 취소하기 어렵기 때문이다.
멀티시그 구조가 뚫린 과정