이더리움 최대 샌드위치 봇 Jaredfromsubway.eth, 가짜 경로 승인 후 750만달러 유출

이더리움 최대 샌드위치 봇으로 분류되는 Jaredfromsubway.eth가 가짜 거래 경로 승인 공격으로 750만달러 규모 자금을 잃었다. 공격자는 봇이 정상 거래 라우팅으로 인식하도록 설계된 허위 경로를 제시했고, 봇이 부여한 승인 권한을 이용해 WETH, USDC, USDT를 빼냈다. 달러당 1,350원 단순 환산 기준 피해액은 약 101억원이다. 다른 이용자의 거래 앞뒤에 주문을 배치해 이익을 얻던 자동화 봇이 권한 남용 공격의 피해자가 된 점에서 사건의 상징성이 크다.

MEV 봇을 노린 승인 권한 공격

샌드위치 봇은 탈중앙화거래소 주문 흐름을 빠르게 읽고 특정 거래 전후에 매수와 매도를 끼워 넣는 MEV 전략을 쓴다. 이 전략은 체결 순서와 가스비 경쟁을 이용하기 때문에 봇의 라우팅 엔진, 승인 관리, 지갑 권한이 모두 자동화돼 있다. 이번 공격은 그 자동화 구조를 정면으로 찔렀다. 공격자는 실제 거래처럼 보이는 경로를 만들고 Jaredfromsubway.eth가 해당 경로를 승인하게 한 뒤, 이미 열린 승인 한도를 이용해 래핑 이더인 WETH와 달러 연동 스테이블코인 USDC, USDT를 외부 주소로 이동시켰다. 개인키 탈취보다 토큰 승인과 라우터 신뢰를 악용한 유형에 가깝다.

750만달러 손실이 던진 시장 경고

피해 규모 750만달러는 국내 투자자 기준으로도 작은 금액이 아니다. 원화 100억원대 자금이 단일 봇의 승인 실수에서 빠져나간 셈이다. 특히 USDC와 USDT는 글로벌 유동성의 핵심 결제 수단이고 WETH는 디파이 담보와 거래쌍에서 널리 쓰인다. 훔친 자금이 여러 주소와 스왑 경로를 거치면 국내 거래소의 의심 입금 모니터링, 외부지갑 출처 확인, 스테이블코인 유동성 관리 부담도 커질 수 있다. 한국 이용자에게도 핵심은 단순하다. 디파이 지갑에서 오래된 토큰 승인, 무제한 승인, 검증되지 않은 라우터 권한을 그대로 두면 자동화 봇이 아니어도 같은 방식의 피해가 발생할 수 있다.

전망과 대응 포인트

이번 사건은 MEV 생태계의 수익성보다 보안 설계가 먼저라는 메시지를 남긴다. 앞으로 고빈도 온체인 전략을 운영하는 지갑은 라우터 화이트리스트, 승인 한도 제한, 실시간 이상 거래 차단, 다중 서명 출금 통제를 기본값으로 채택할 가능성이 크다. 국내 투자자는 거래소 보관 자산과 개인지갑 자산을 분리해 관리하고, DEX 이용 뒤에는 승인 취소 도구로 권한을 점검하는 습관이 필요하다. 이더리움 디파이 시장에서는 샌드위치 공격을 둘러싼 윤리 논쟁과 별개로, 권한 기반 공격을 막는 보안 표준 강화가 빠르게 진행될 전망이다.