Polymarket, 거래량 기준 최대 블록체인 예측 시장 플랫폼이 2026년 6월 25일 프런트엔드 공급망 해킹으로 약 310만 달러 규모의 사용자 자산을 도난당했습니다. 피해 금액은 며칠 후 상향 조정되었으며, 이는 플랫폼이 피해 사용자 환불을 약속한 직후였습니다. 해커들은 Polymarket 스마트 계약 자체를 직접 공격하지 않았으며, 웹사이트에 사용된 외부 공급업체의 소스코드가 손상되어 악성 스크립트가 사용자 브라우저 페이지에 삽입되었습니다. 이 공격으로 11개 사용자 지갑이 피해를 입었고, 탈취된 자산은 Polymarket의 달러 연동 토큰에서 약 1,893 ETH로 교환된 후 해커가 제어하는 지갑으로 이동되었습니다.
이 사건의 시점이 중요한 이유는, 약 5주 전에도 보안 사고가 있었고, 환불 약속 직후 피해 금액이 상향 조정되어 신뢰 문제가 커졌기 때문입니다. 실제로 어떤 일이 있었는지, 연이은 사고가 의미하는 바, 그리고 예측 시장 및 DeFi 플랫폼의 자산 관리 위험에 대해 분석합니다.
Polymarket 해킹의 경위
이번 공격은 스마트 계약 취약점이 아닌 공급망(서드파티 공급업체) 침해에 따른 프런트엔드 공격이었습니다. Polymarket의 온체인 계약은 정상적으로 작동했으나, 사용자와 계약 사이의 웹 계층이 약점이었습니다. 프런트엔드 코드를 제공하는 외부 공급업체가 해킹되어 악성 스크립트가 웹페이지에 삽입되었고, 영향을 받은 사용자가 사이트를 접속할 때 해당 스크립트가 브라우저에서 조용히 실행되어 사용자가 의도하지 않은 지갑 서명을 유도했습니다. 서명은 일상적인 것처럼 보여 별다른 경고 신호가 없었습니다.
해커의 주요 표적은 USDC로 담보된 Polymarket의 달러 연동 스테이블코인 pUSD였습니다. 해커는 탈취한 잔액을 이더리움으로 교환, Polygon에서 이더리움 메인넷으로 브릿지 전송한 후 단일 지갑으로 자산을 집결시켰습니다. 최초 공개 피해 추정은 약 290만 달러였으나, 며칠 만에 약 310만 달러로 상향 조정되었습니다. 이는 환불 약속이 이뤄진 시점보다 피해액이 늘어나 의사소통 상 신뢰에 악영향을 주었습니다.
쉽게 설명하자면, 금고(스마트 계약)는 안전했지만 현관문(웹 프런트엔드) 키패드가 조작되어, 평소대로 접근한 사용자가 모르게 타인에게 출금을 승인하는 구조였습니다. 즉, 스테이블코인이 본인 지갑에 있어도, 계약 자체는 문제가 없지만 인터페이스가 잘못 안내하면 자산 유출이 가능합니다.
환불 약속 이후 시점이 중요한 이유
Polymarket는 침해가 확인된 후 빠르게 대응 메시지를 냈습니다. 문제된 외부 의존성을 제거하고 취약점을 수정했으며, 피해 pUSD 보유자 전원에게 전액 환불을 약속했습니다. 이는 사실상 바람직한 조치이나, 환불 약속 발표 후 피해액이 290만 달러에서 310만 달러로 증가하면서 환불 약속의 신뢰성이 저하되었습니다.
거래 플랫폼에서 신뢰는 약속과 실제 결과의 간극에서 형성됩니다. 만약 손실 보전을 약속한 뒤 손실 규모가 다시 증가하면, 사용자는 "이번 피해액이 최종인가, 더 늘어날 수 있는가"라는 의문을 갖게 됩니다. 이 불확실성 자체가 금전적 손실보다 더 큰 신뢰 손상을 초래할 수 있습니다.
또 다른 영향도 있습니다. Polymarket는 실제 자금으로 실세계 사안에 베팅할 수 있는 플랫폼임을 강조해왔으나, 환불 약속 후 며칠 만에 사용자 자산이 유출된 것은 이 신뢰 자체를 훼손합니다.
Polymarket의 최근 보안 및 규제 이슈
이번 사고는 단발적 사건이 아니었습니다. 2026년 5월 22일, 온체인 조사자들이 별도의 사건을 보고했습니다. 이 사건에서는 Polygon 기반 내부 운영 지갑에서 약 52만~70만 달러가 유출되었으며, 6년간 활성화된 개인 키가 원인으로 지목되었습니다. 이 때는 사용자 자산에는 영향이 없었지만, 두 달 이내에 두 건의 보안 침해가 발생한 것은 우연이 아니라 패턴으로 볼 수 있습니다. 5월 사고는 내부 인프라, 6월은 사용자 대상이라는 차이만 있을 뿐 시스템 내 약점이 존재함을 보여줍니다.
이러한 보안 문제는 규제기관의 주목과 함께 나타났습니다. 미국 상품선물거래위원회(CFTC)는 Polymarket의 마케팅 관행을 조사 중이며, 이는 대가를 받고 제작된 소셜미디어 영상에서 허위 거래 및 과장된 수익을 홍보한 점이 중심 이슈입니다. 2026년 6월 조사에 따르면, 1,100개 이상의 영상의 상당수가 실제가 아닌 모의 베팅을 다루었습니다. 존 커티스 및 아담 쉬프 상원의원은 CFTC에 공식 질의서를 발송했으며, 2026년 7월 10일까지의 답변을 요청했습니다.
주요 일정은 다음과 같습니다.
| 날짜 | 사건 | 영향 대상 |
|---|---|---|
| 2026년 5월 22일 | 6년 된 개인키로 내부 운영지갑 자산 유출 | 내부 운영(사용자 아님) |
| 2026년 6월 20일 | 허위 홍보 영상 보도 | 평판, 규제 |
| 2026년 6월 25일 | 프런트엔드 공급망 해킹으로 사용자 지갑 유출 | 사용자 직접 |
| 2026년 6월 26일 | 피해 pUSD 보유자 환불 약속 | 피해 사용자 |
| 며칠 후 | 피해액 약 310만 달러로 상향 | 피해 사용자 |
| 2026년 7월 10일 | CFTC 마케팅 조사 답변 기한 | 플랫폼, 규제 |
피해 사용자가 기대할 수 있는 사항
피해를 입은 11개 지갑에 대해 Polymarket는 pUSD 기준 전액 환불을 약속했습니다. 문제의 공급망 의존성은 제거되었으며, 공격 시점에 악성 서명 프롬프트에 응답하지 않은 사용자의 경우 자산이 유출되지 않았습니다. 공격은 사용자 서명이 필수였으므로, 미승인 지갑은 영향이 없었습니다.
탈취 자산의 실제 회수는 별도의 문제입니다. 현재까지 1,893 ETH는 해커의 주소에서 이동이 확인되지 않았으며, 블록체인 탐색기(Etherscan 등)에서 실시간 추적이 가능합니다. 향후 이동 경로나 거래소 접속 여부에 따라 동결이나 회수 가능성이 달라집니다.
기타 사용자에게 가장 중요한 교훈은 "모든 서명 요청은 신중히 검토해야 한다"는 점입니다. 피해자들은 특별히 부주의하지 않았으며, 신뢰하던 인터페이스가 약점이었습니다. 이는 플랫폼을 불문하고 적용되는 보안 원칙입니다.
예측 시장 및 DeFi의 자산 보관/보안 교훈
이번 해킹의 본질은 스마트 계약이 아니라 주변 웹 인터페이스의 취약점에서 발생했다는 점입니다. 최근 DeFi 해킹 사례처럼, 시스템 경계의 접점(프런트엔드, 브리징 등)에서 사고가 빈번하게 나타나고 있습니다.
주요 보안 원칙은 다음과 같습니다.
- 프런트엔드 위험 = 실질적인 자산 위험: 계약이 아무리 안전해도, 인터페이스가 변조되면 사용자의 서명은 자산 이전을 승인할 수 있습니다.
- 외부 의존성은 곧 공격 경로: 알지 못하는 외부 스크립트가 공급망 침해의 진입점이 될 수 있습니다.
- 핫 월렛 사용은 편의와 노출의 교환: 웹 앱과 연동된 지갑 내 자산은 해당 앱의 보안 상태에 따라 달라집니다.
- 서명 요청 검증은 사용자의 최후 방어선: 계약주소, 토큰, 금액을 꼼꼼히 확인해야 하며, 해킹은 사용자의 부주의를 노립니다.
- 환불 약속 = 완전한 원상복구 아님: 환불은 손실 보전일 뿐, 보안 침해 자체를 되돌리는 것은 아닙니다.
이는 예측 시장에만 국한되지 않으며, 지갑 연동 및 서명 구조의 모든 플랫폼에 적용되는 원칙입니다.
자주 묻는 질문
Polymarket는 안전한가요?
이번 사고에서 스마트 계약은 직접적으로 해킹되지 않았으나, 최근 5주간 내부와 사용자 대상 두 번의 보안 침해가 있었습니다. 공급망 의존성은 제거됐고 환불 약속이 이뤄졌으나, 연이은 사고로 인해 자산 잔고 관리 및 매 서명 요청마다 세심한 주의가 필요합니다.
Polymarket에 무슨 일이 있었나요?
2026년 6월 25일, 프런트엔드 코드를 공급하는 외부 업체 해킹으로 악성 스크립트가 삽입되어 11개 사용자 지갑의 pUSD 약 310만 달러가 탈취되었습니다. 이 자산은 약 1,893 ETH로 바꿔져 해커 지갑에 집결되었고, 현재 추적 중입니다.
Polymarket는 사용자 환불을 진행하나요?
Polymarket는 공식적으로 피해 pUSD 보유자에게 전액 환불을 약속했으며, 공격의 원인이 된 외부 의존성도 제거했습니다. 다만, 온체인 탈취 자산의 실질 회수는 분리된 절차이며, 해커가 ETH를 이동하기 전 동결/회수 가능성에 달려 있습니다.
Polymarket 해킹은 왜 계약이 아닌 프런트엔드에서 발생했나요?
공격자는 블록체인 계층이 아닌 웹사이트 계층을 노렸습니다. 외부 공급업체 침해로 악성 스크립트가 삽입되었고, 사용자는 알지 못한 채 탈취 트랜잭션에 서명하게 되었습니다. Polymarket의 예측시장 계약 자체는 정상 작동했습니다.
결론
Polymarket 사건은 프런트엔드 및 공급망 보안 실패로 사용자에게 약 310만 달러의 피해를 초래했습니다. 가장 큰 문제는 단순 금액이 아니라, 사고 이전 환불 약속이 이루어진 상황에서 피해액이 추가로 늘어났다는 점입니다. 연이은 보안 사고와 CFTC의 오픈 조사까지 겹치며 신뢰 문제로 이어지고 있습니다. 앞으로 세 가지를 주목해야 합니다. 310만 달러 피해액이 최종 수치인지, 해커 보유 ETH의 이동 여부, 향후 공개되는 추가 보안 사고입니다. 이런 위험은 특정 플랫폼에 국한되지 않으며, 모든 웹 연동 지갑 사용자의 보안 및 자산 관리 방식에 근본적 교훈을 남깁니다. 웹 앱과 연결된 자산은 인터페이스 및 외부 의존성의 신뢰성이 핵심이며, 사용자가 직접 서명 내용을 꼼꼼히 확인하는 습관이 가장 강력한 방어책입니다. 필요 시 자산의 일부만 웹 앱과 연동하거나, 비트코인 등 셀프커스터디 방법을 미리 익히는 것이 좋습니다.
본 기사는 정보 제공 목적이며, 금융 또는 투자 자문을 제공하지 않습니다. 암호화폐 거래에는 상당한 위험이 따르므로, 거래 결정 전 반드시 스스로 충분히 조사하시기 바랍니다.
