DxSale, 사고 경위 설명 발표: v2 및 이후 버전 유동성 락 컨트랙트는 영향 없어

2026년 5월 30일

DxSale, 사고 경위 설명 발표: v2 및 이후 버전 유동성 락 컨트랙트는 영향 없어

최근 발생한 BNB 체인 유동성 락커 해킹 사건으로 인해 오랫동안 논의되었던 질문이 다시 수면 위로 떠올랐습니다: 체인이 진화함에 따라 “오래된 인프라”가 다시 위험해질 수 있는가? 2026년 5월 말, 공격자들은 2021년으로 거슬러 올라가는 DxSale의 레거시 유동성 락을 표적으로 삼아 온체인 자금 이동을 유발했고, 한때 DxSale의 초기 락커 아키텍처에 의존했던 프로젝트들 사이에 우려의 물결이 일었습니다.

2026년 5월 30~31일경 (시간대에 따라 다름) DxSale은 후속 발표를 통해 해당 문제는 v1 락 컨트랙트에 국한된 것이며, v2 및 이후 버전(v2, v3 등)은 영향을 받지 않았다고 밝혔습니다. 이후 버전의 컨트랙트는 감사를 받았으며 사용자의 락된 자산은 안전하다고 보고되었습니다.

이하에서는 사건의 구체적인 내용, 체인 수준의 “원자적(atomic)” 실행 기능이 오래된 컨트랙트에서 예상치 못한 문제점을 어떻게 드러낼 수 있는지, 그리고 유동성 제공자(LP)와 토큰 팀이 앞으로 무엇을 해야 할지에 대해 살펴보겠습니다.

BNB 체인에서 발생한 일 (2026년 5월 29일)

2026년 5월 29일, BNB 체인에서 약 1,400개의 오래된 LP 포지션—주로 2021년 시대의 것들—이 자금이 인출되었다는 보고가 나왔으며, 추정 손실액은 약 730만 달러에 달했습니다. 이번 사건을 추적한 여러 보고서에 따르면 공격자는 소유권/특권 제어 조작과 일치하는 방식을 사용한 후 스왑 및 예치를 통해 자산을 빼돌렸습니다.

이번 사건에서 널리 인용되는 공격자 주소는 다음과 같습니다:

공개 요약에 따르면 공격자는 자금을 BNB로 통합하고 2,958 BNB (당시 약 187만 달러)를 두 개의 주요 지갑으로 옮긴 후, 거래소 입금 주소로 라우팅하고 팬케이크스왑을 통해 스왑했습니다. 사건 개요를 쉽게 이해하려면 코인데스크 보고서 (트레이딩뷰 미러링) 를 참고하십시오.

DxSale의 핵심 주장: 피해 범위는 v1에 국한

DxSale의 발표는 세 가지 주요 주장을 강조합니다:

  1. 영향받은 컨트랙트는 2021년에 출시된 초기 “v1” 유동성 락 컨트랙트입니다.
  2. v2 및 이후 버전의 락 컨트랙트는 영향을 받지 않았습니다.
  3. 이후 버전의 컨트랙트는 다른 아키텍처 하에서 구축되었으며 보안 검토/감사를 받았습니다.

사용자는 항상 특정 락에 대한 컨트랙트 주소와 감사 범위를 확인해야 하지만, CertiK의 DxSale 프로젝트 스카이넷 페이지 를 통해 DxSale의 프로젝트 보안 및 감사 이력을 교차 확인할 수 있습니다.

DxSale의 버전 관리에 익숙하지 않은 사용자를 위해, DxSale 자체 문서는 최신 락커(예: DxLock V2 유동성 락킹 문서)를 구분하고 있으며, 이는 특정 프로젝트가 어떤 도구와 컨트랙트 버전을 사용했는지 확인하는 데 도움이 됩니다.

“원자적 트랜잭션”이 오래된 가정을 깨뜨릴 수 있는 이유

DxSale은 근본 원인을 BNB 체인의 새로운 “원자적 트랜잭션” 스타일 실행과 초기 v1 락커 디자인 간의 호환성 문제로 지목했습니다.

현대 EVM 생태계에서 “원자적”이라는 용어는 종종 여러 작업을 하나의 완전한 성공 또는 완전한 실패 거래로 묶는 것을 의미합니다 (따라서 중간 상태는 결코 지속되지 않습니다). 이러한 흐름은 2025~2026년 동안 계정 추상화 및 일괄 처리 기본 요소에 대한 광범위한 채택을 통해 가속화되었으며, 여기에는 EIP-7702 스타일 메커니즘도 포함됩니다.

BNB 체인은 스마트 월렛 및 계정 추상화 업그레이드에 대해 공개적으로 논의해왔습니다. BNB 체인 파스칼 하드 포크 발표 를 참조하십시오. 단일 트랜잭션 위임/일괄 처리 개념을 대중화한 기본 표준에 대해서는 이더리움 EIP의 EIP-7702 를 참조하십시오.

DeFi 보안의 핵심 교훈

오래된 컨트랙트가 “수년간 작동했더라도”, 새로운 트랜잭션 패턴은 기존의 위협 모델을 무효화할 수 있습니다—특히 컨트랙트가 관리자 권한, 비정상적인 소유권 흐름 또는 호출이 어떻게 구성될 수 있는지에 대한 가정에 의존하는 경우 더욱 그렇습니다.

이것이 2025~2026년 DeFi 보안 대화에서 다음과 같은 사항에 점점 더 초점을 맞추는 이유 중 하나입니다:

  • 불변(immutable) 대 업그레이드 가능(upgradeable) 컨트랙트 위험
  • 특권 역할 및 소유권 경계
  • 새로운 체인 기능 및 실행 환경 하에서 컨트랙트가 안전하게 유지되는지 여부

유동성 제공자와 토큰 팀이 지금 해야 할 일

1) 사용한 락커 버전을 확인하십시오

이전 BNB 체인 프로젝트의 커뮤니티 구성원이라면 “락킹”이 안전하다는 것을 당연하게 여기지 마십시오. 팀에 다음을 요청하십시오:

  • 정확한 락커 컨트랙트 주소
  • 락 ID/락 페이지
  • v1 대 v2+ 여부에 대한 확인

주소만 가지고 있다면 BscScan으로 시작하여 컨트랙트 생성 시점, 소유권 기능 및 이전 트랜잭션을 검사하십시오.

2) “감사”를 필요조건으로 간주하고 충분조건으로 생각하지 마십시오

감사는 위험을 줄이지만 완전히 제거하지는 못합니다—특히 체인 동작이 진화할 때는 더욱 그렇습니다. 감사 참조를 시작점으로 사용한 다음 다음을 평가하십시오:

  • 특권 기능이 아직도 존재합니까?
  • 소유권을 변경할 수 있습니까?
  • 인출에 영향을 미치는 관리자 제어 매개변수가 있습니까?

3) 공격자는 잊혀진 컨트랙트를 표적으로 삼을 것이라고 가정하십시오

이번 해킹은 반복되는 패턴을 보여줍니다: 공격자들은 종종 휴면 상태의 유동성레거시 컨트랙트를 사냥합니다. 이는 모니터링이 약하고 대응이 느린 경우가 많기 때문입니다.

4) 마이그레이션 및 비상 조치 중 서명 키를 보호하십시오

이와 같은 사고는 종종 “긴급 마이그레이션”을 촉발하며, 이는 피싱 및 악성 서명 요청에 가장 취약한 시기입니다.

OneKey과 같은 하드웨어 월렛은 개인 키를 오프라인으로 유지하고 트랜잭션에 대한 온디바이스 확인을 요구함으로써, 감염된 컴퓨터나 브라우저 확장 프로그램이 악의적인 승인을 아무 몰래 서명할 가능성을 줄여줍니다. 이것이 취약한 DeFi 컨트랙트를 수정하는 것은 아니지만, 압박감 속에서 dApp과 상호 작용할 때 개인의 운영 보안을 실질적으로 향상시킵니다.

요점

  • 2026년 5월 사건은 레거시 유동성 락커 컨트랙트가 시스템적 위험이 될 수 있음을 강조합니다—특히 실행 기능이 빠르게 진화하는 빠르게 움직이는 체인에서는 더욱 그렇습니다.
  • DxSale의 성명은 이 문제를 2021년 시대의 v1 락커에 국한된 것으로 분류하며, v2 및 이후 버전의 컨트랙트는 영향받지 않았다고 합니다.
  • 사용자 및 팀을 위한 실행 가능한 내용은 오래된 락을 파악하고, 컨트랙트 버전을 확인하며, 2026년의 현실에 맞춰 보안 관행을 업데이트하는 것입니다: 원자적 일괄 처리, 위임 실행 및 더 빠르게 움직이는 공격자 플레이북.

BNB 체인에서 재무를 관리하거나 일상적으로 DeFi 트랜잭션에 서명하는 경우, OneKey을 광범위한 보안 전략의 일부로 사용하는 것을 고려하십시오: 하드웨어 기반 키 격리, 신중한 허용 관리 및 침착하고 검증 가능한 사고 대응 워크플로우.

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.