온체인 조사자 ZachXBT는 5월 22일 Polymarket 연동 주소의 사설키가 유출되어 Polygon에서 약 60만 달러가 인출되었다고 의심되는 사건을 알렸습니다. 공격자는 키가 교체되기 전 약 20~30초마다 5,000 POL을 여러 차례 인출했습니다. Polymarket 엔지니어링 VP인 Josh Stevens는 해당 키가 플랫폼 스마트 컨트랙트나 고객 자산이 아닌, 6년 된 내부 충전 지갑에 연결된 사설키였음을 밝혔습니다. 이 차이는 중요합니다. 인출 방식에 따라 피해 대상이 달라지기 때문이며, 현재 위협 모델은 프로토콜 팀보다 개별 사용자를 겨냥하고 있습니다.
이번 사건은 Polymarket 프로토콜 자체의 취약점이 아니라 계정 수준에서 발생한 키 유출입니다. Polygon에서 자기 소유 지갑을 사용하는 모든 사용자가 겪을 수 있는 문제로, 이 사건을 주의 깊게 살펴볼 필요가 있습니다.
ZachXBT가 포착한 내용과 온체인 데이터 해석
ZachXBT는 5월 22일 UMA CTF Adapter 컨트랙트를 통해 최초 의심 내역을 공개했습니다. Polymarket은 UMA의 옵티미스틱 오라클과 연동해 이 컨트랙트를 통해 시장을 정산합니다. 초기 보도에서는 POL과 USDC.e 손실이 약 52만 달러로 집계됐으나, 몇 시간 만에 자동 인출이 반복되며 60만 달러를 넘었습니다.
기계적인 인출 패턴이 핵심 단서입니다. 사람이 매 20초마다 동일한 금액을 반복적으로 수 시간 인출하는 것은 어렵습니다. 스크립트 기반 공격만이 가능한 패턴으로, 사설키 유출이 이미 발생해 공격자가 서명 권한을 미리 획득한 것임을 시사합니다. 이는 컨트랙트 자체의 논리적 결함이 아닌, 키 유출의 전형적인 신호입니다.
Polymarket 엔지니어링 팀은 사건 발생 후 몇 시간 내에 컨트랙트는 변조되지 않았으며, 유출은 운영 잔고 충전을 위한 내부 지갑에만 국한되었다고 밝혔습니다. CoinDesk도 사용자 자산이 영향받지 않았음을 확인했고, CryptoSlate는 유출된 키가 약 6년 전 생성된 것으로, 현재 보안 구조 이전에 만들어진 것임을 강조했습니다.
ZachXBT는 독립 온체인 조사자로, 법 집행기관이나 Polymarket 소속이 아닙니다. 그는 실시간 거래 패턴을 분석해 플랫폼 공식 발표 전에 의심스러운 활동을 신속하게 외부에 알리는 역할을 합니다. 이 신속성이 가치의 핵심입니다. 이 때문에 플랫폼의 공식 확인 전까지는 "의심" 단계로 분류됩니다. Polymarket은 최초 경고 이후 약 5시간 만에 원인을 공식 확인했습니다.
Polymarket 계정 관리 방식
많은 사용자가 Polymarket을 중앙화된 예측시장 플랫폼으로 생각하지만, 실제로는 깔끔한 UI의 온체인 DEX에 가깝습니다.
Polymarket 사용자는 Polygon 상에서 자기 소유 외부 소유 계정(EOA)을 갖고 있습니다. 이는 메타마스크와 동일한 구조입니다. 입금은 이더리움 또는 Polygon 주소에서 EOA로 USDC.e를 이동하고, 베팅은 UMA CTF Adapter 컨트랙트로의 서명 트랜잭션, 출금은 다시 외부로의 서명 트랜잭션으로 이루어집니다. Polymarket의 프론트엔드는 시그니처 과정을 추상화하지만, 계정과 사설키는 사용자가 직접 보유합니다.
즉, 이번 5월 22일 사건은 Polygon에서 매달 발생하는 소규모 계정 인출과 구조적으로 동일합니다. Polymarket의 내부 충전 지갑도 운영 POL 및 USDC.e를 보관하는 EOA였습니다. 사설키가 유출되자, 공격자는 Polymarket과 동일한 수준의 권한을 얻게 되었습니다. 컨트랙트는 설계대로 동작해 자금이 인출된 것으로, 별도의 취약점이 발견된 것은 아닙니다.
이 점이 중요한 이유는 대형 Polymarket 포지션도 동일한 계정 구조와 키로 관리된다는 점입니다. 내부 운영 키가 유출될 수 있다면, 사용자 본인의 키 관리 관행도 동일한 위협 모델로 점검해야 합니다.
Polymarket 고액 사용자에게 미치는 자기 보관(셀프 커스터디) 영향
Polymarket 내 대형 계정은 온체인상에서 공개됩니다. 2024년 미국 대선 관련 7~8자리 금액이 담긴 지갑 주소가 공개된 적이 있으며, 일부 주소에는 여전히 큰 잔고가 남아 있습니다. 기본 체인 분석 도구만으로도 고액 EOA 리스트를 1시간 안에 만들 수 있고, 공격자도 동일한 정보를 쉽게 얻을 수 있습니다.
2025년부터 2026년까지, 주요 표적 공격 패턴은 일관적이었습니다. Polymarket 이메일 및 UI를 사칭한 피싱 키트, 서명 요청을 가로채는 가짜 브라우저 확장 프로그램, 임베디드 지갑 이메일을 대상으로 한 크리덴셜 스터핑 등 매주 새로운 피해자를 양산하고 있습니다. 인출은 대부분 한 번의 트랜잭션과 서명으로 순식간에 이루어집니다.
계정 유형 | 보관 모델 | 현실적 위협 |
임베디드 지갑을 통한 Polymarket 포지션 | 앱이 관리하는 자기 보관 EOA | 피싱, 악성 브라우저 확장, 디바이스 해킹 |
외부 지갑(MetaMask)을 통한 Polymarket 포지션 | 사용자 관리 자기 보관 EOA | 시드 문구 유출, 서명 승인 남용, 가짜 dApp 팝업 |
Polymarket 내부 운영 지갑 | 기관 관리 EOA | 오래된 키, 내부자 접근, 인프라 유출(5월 22일 사례) |
Polygon 사설키가 공격자에게 유출될 경우 Polymarket 포지션, USDC.e 잔액, 해당 주소의 모든 토큰이 위험에 처합니다. Polymarket 지원팀에서도 서명된 트랜잭션을 취소할 수 없으며, Polygon에는 FDIC와 같은 예금 보험이 없습니다. 이번 사건에서 플랫폼 컨트랙트는 설계대로 정상 작동했으며, 사용자 주소에 발생한 동일한 상황에 대해 플랫폼이 대응할 방법은 없습니다.
내 Polymarket 계정에서 지금 바로 확인할 점
보유 금액과 관계없이, 10분 내로 아래 세 가지를 점검하는 것이 좋습니다.
임베디드 지갑에 연결된 이메일이 고유 비밀번호와 2단계 인증(2FA)을 사용하는지 확인하세요. 2019년 유출된 비밀번호 재사용이 Polygon EOA 보안 실패의 가장 흔한 원인입니다. 다음 단계로 넘어가기 전, 위에서 언급한 보안 체크리스트의 13개 점검 항목을 꼼꼼히 확인하세요.
Polymarket 주소의 토큰 승인 내역을 검토하세요. Polygon 익스플로러에서 승인 리스트를 확인하고, 모르는 컨트랙트가 있다면 승인을 철회하세요. 잊힌 dApp의 오래된 승인 내역은 잠재적 공격 표면이 될 수 있습니다.
손실을 원하지 않는 자산은 반드시 하드웨어 지갑 서명 방식으로 옮기세요. Polymarket은 기본 임베디드 지갑 대신 외부 지갑과도 연동 가능합니다. 하드웨어 지갑은 서명마다 물리적 확인이 필요해, 이번과 같은 원격 키 유출 위험을 원천 차단할 수 있습니다.
수천 달러 이상의 자산을 보유한 경우, 임베디드 지갑은 핫월렛으로 간주하고 주요 자산은 하드웨어 지갑에서 관리하는 것이 좋습니다. 이는 현물 및 DeFi 자산 자기 보관 가이드의 표준 분리 원칙과 동일하며, 예측시장 포지션에도 동일 기준을 적용하는 것이 바람직합니다.
자주 묻는 질문
5월 22일 Polymarket 사건은 스마트 컨트랙트 해킹인가요?
아닙니다. Polymarket과 ZachXBT 모두 UMA CTF Adapter 컨트랙트가 정상 동작했음을 확인했으며, 유출은 내부 운영 지갑의 사설키에서 발생했습니다. 컨트랙트 코드나 오라클 논리 결함이 아닙니다.
현재 Polymarket 사용자 자산이 위험한가요?
5월 22일 인출 사건은 사용자별 Polymarket 계정에 영향을 주지 않았습니다. 유출된 지갑은 Polymarket 내부 주소였으며, 각 사용자의 EOA는 독립적으로 보호되므로, 키 관리 책임 또한 사용자 본인에게 있습니다.
공격자는 보통 어떤 방법으로 Polymarket 계정 자산을 탈취하나요?
주요 공격 방식은 Polymarket 로그인 페이지를 가장한 피싱, 서명 요청을 가로채는 악성 확장 프로그램, 스크린샷/클라우드/패스워드 매니저 유출로 인한 시드 문구 유출 등입니다. 직접적인 스마트 컨트랙트 공격은 드뭅니다.
6만 달러 손실은 회수 가능성이 있나요?
Polymarket은 몇 시간 내에 사설키를 교체해 인출을 차단했습니다. 도난당한 POL 및 USDC.e 회수는 법 집행기관의 조치 없이는 현실적으로 어렵고, 자기 보관 주소로 전송된 온체인 자산은 플랫폼에서 직접 복구할 수 없습니다.
결론
이번 Polymarket 사건은 Polygon 포지션에서 가장 약한 고리가 프로토콜이 아닌 사설키임을 다시 보여줍니다. ZachXBT는 60만 달러 규모의 내부 지갑 인출을 경고했고, Polymarket은 6년 된 운영 키 유출을 원인으로 공식 확인했습니다. 컨트랙트는 서명된 트랜잭션을 그대로 처리했으므로, 동일한 위협 모델이 모든 사용자 계정에도 적용됩니다. 따라서 임베디드 지갑에 연결된 인증정보를 점검하고, 불필요한 승인 내역을 철회하며, 고액 자산은 하드웨어 지갑으로 분리하는 것이 중요합니다. 플랫폼은 5시간 이내에 키를 교체해 대응을 마쳤으며, 사용자 측의 관리는 각자의 몫입니다.
이 글은 정보 제공 목적이며, 재정 또는 투자 조언이 아닙니다. 암호화폐 거래에는 상당한 위험이 따르므로, 거래 전 항상 스스로 추가 조사를 진행하시기 바랍니다.
