폴리마켓 봇 사기로 53명 개발자·트레이더 피해, 2.94백만 달러 탈취

폴리마켓 봇 사기의 주요 해킹 수법은 무엇이었나요?

이 사기를 통해 공격자들은 어떤 정보를 탈취했나요?

이번 사기의 피해 규모와 확산 추세는 어떻게 되나요?


폴리마켓 봇 사기로 53명 개발자·트레이더 피해, 2.94백만 달러 탈취
출처: 언블록 미디어

2026년 7월 1일 슬로우미스트, 세이프뎁, 크립토폴리탄 등에 따르면, 최근 깃허브에 ‘polymarket-arbitrage-bot’이라는 오픈소스 트레이딩 자동화 봇이 등록되어, 디파이 개발자와 트레이더 커뮤니티로 빠르게 확산됐다. 해당 프로젝트는 연 수익 8만 달러의 예측시장 차익거래 가능성을 내세우며, 36개의 스타와 53건의 포크가 이루어졌다. SlowMist 분석가 Dexter’s Lab에 따르면 이 과정에서 최소 53명 이상이 직접 npm install 등과 같은 방법으로 코드를 설치했다. 사용자는 봇 설치 과정에서 폴리마켓 예측시장 지갑의 비밀키·API 키 등 주요 인증정보를 .env 파일에 입력하도록 유도당했다.

하지만 실제로 봇 실행과 동시에 clob-client-math 등 총 30개의 악성 npm 패키지가 자동 설치되어, .env에 저장된 폴리마켓 지갑 개인키 뿐 아니라 크롬 브라우저에 저장된 이메일·비밀번호, AWS·SSH·API 키와 같은 트레이딩 및 클라우드 계정 정보까지 한꺼번에 공격자 서버로 전송됐다. 이 과정에서 피해자 상당수는 인증키 외에도 트레이딩 플랫폼 접근정보·개발원격 접속 계정까지 탈취당했다. DeFi 전문 연구원 Igor Mikerin에 따르면, 실제 피해 규모는 6월 25일 기준 공격 통로별로 최소 2.94백만 달러 상당 암호화폐가 불법 이체된 것으로 집계됐다.

이번 공격의 특징은 npm 패키지 공급망 해킹 방식과 한글로 된 패키지명 등으로 소스코드 검토가 어려웠다는 점이다. 일반적으로 정상 패키지(Polymarket SDK, ethers, dotenv 등)와 함께 악성 패키지를 package.json 파일에 삽입하는데, 이는 겉보기엔 정상 오픈소스처럼 보여 개발자들이 별다른 의심 없이 활용하게 만들었다. 또한 npm 신규 계정이나 유지보수가 전무한 패키지, 타인의 인기 계정 탈취 후 악성 라이브러리 등록 등의 다양한 수법이 동시에 동원됐다.

동일 조직은 최근 폴리마켓 커뮤니티 내 인플루언서 사칭, 공식 사이트 악성 코드 삽입, 피싱 메시지 전송 방식으로도 피해 채널을 확장하고 있다. 보안 기업들은 해당 봇 또는 관련 npm 패키지를 설치한 사용자라면 즉시 암호화폐 지갑·트레이딩 플랫폼, 클라우드 서버 인증키 일괄 교체와 미사용 npm 라이브러리 삭제·점검을 강력히 권고하고 있다. 실제 피해자는 단순 토큰·코인 자산에 그치지 않고, 디파이·AI 트레이딩 자동화 생태계 전체로 확산되는 추세다.

시장 정보에 따르면, 자동화 트레이딩 도구와 오픈소스 패키지 공급망을 노린 정보 탈취형 악성코드 공격이 디파이, AI 트레이딩 등 분야에서 연쇄 확산 중이다. 시장 참여자는 npm 생태계의 보안 취약점을 인식하고, 신규 도구·패키지 도입 시 소스 검증, 인증정보 주기적 교체, 계정과 라이브러리의 출처·이력 점검 등 보안 수칙 준수가 필수임을 유념해야 한다.

기사 정보
카테고리
기술
발행일
2026-07-01 15:11
NFT ID
PENDING
최신소식을 메일로 받아보세요.

추천 뉴스