블록체인 연구원 ZachXBT에 따르면, Binance Smart Chain(BSC)의 분산형 결제 프로젝트인 GANA Payment가 목요일 오전 5시(UTC)경 악용되어 310만 달러가 넘는 손실이 발생했습니다.
암호화폐 조사관의 조사 결과에 따르면, 공격자는 해당 프로젝트의 스마트trac의 결함을 이용하여 토큰을 훔쳤습니다. 이후 토네이도 Cash (Tornado Cash) 및 기타 네트워크를 통해 토큰을 이동시켜 자금 세탁을 시도했습니다.
"GANA의 상호작용trac이 외부 공격을 받아 무단 자산 도난이 발생했습니다. 공식 채널을 통해 조사 진행 상황과 후속 조치에 대한 업데이트를 계속 제공하겠습니다."라고 DeFi 플랫폼이 오늘 X에 게시했습니다.
OnChain Lens를 포함한 X의 몇몇 사이버보안 플랫폼은 공격자가 약 104만 달러 상당의 1,140 BNBBSC의 Tornado Cash 로 이체하면서 악용이 시작되었다고 보고했습니다.
도난당한 자산은 이후 Ethereum으로 연결되었고, 105만 달러 상당의 346 ETH가 자금 세탁을 목적으로 암호화폐 믹서에 입금되었습니다.
ZachXBT가 공유한 블록체인 기록에 따르면 자금 세탁에 사용된 Ethereum 주소는 0x7a503e3ab9433ebf13afb4f7f1793c25733b3cca였습니다. BSC의 최초 도난 주소는 0x2e8a…aae5c38과 0xd10e…cc8fa4d로dent되었습니다.
해커, GANA의 '언스테이크 기능'을 악용해 코인 훔쳐
Web3 보안 회사인 HashDit에 따르면, 악용된trac의 소유권이 변경되었고 해커는 이를 이용해 보상 비율을 조작하고 지분 해제 기능을 호출하여 의도한 것보다 많은 GANA 토큰을 획득했습니다.
🚨해시딧 알림🚨
@GANA_PayFi가 의 $GANA 에 해당하는 피해를 입었다 고 모니터링했습니다 .
당장 $GANA 으로 거래하지 말고
자금이 TC에 입금되었습니다: https://t.co/rtdjnMvYpI
근본 원인: 소유권… pic.twitter.com/XZzuoMmf8D
— HashDit | 이제 Pro Extension (@HashDit) 2025년 11월 20일
범인은 이후 탈중앙화 거래소에서 토큰을 빠르게 매각하여 프로젝트 코인의 가치를 크게 떨어뜨렸습니다. Ethereum 주소에 보관된 총 346 ETH는 몇 시간 동안 휴면 상태로 남아 있었습니다.
그러나 한 시간 전부터 해커는 토네이도 Cash 1 ETH, 10 ETH, 100 ETH 단위로 자금을 세탁하기 시작했습니다. 이는 도둑들이 DeFi 공격 중에 보안 연구원들이 훔친 자금의 흔적을 "털어내기" 위해 사용하는 방법입니다.
GANA Payment는 BEP-20 GANA 토큰을 중심으로 구축된 비교적 소규모의 결제 토큰 프로젝트입니다. 운영은 탈중앙화되어 있으며 유동성 풀과 거래소를 사용하지만, Cryptopolitan 공개적으로 이용 가능한 기술 문서를 찾지 못했습니다.
11월 초에 출시된 이 프로젝트는 아직 공식적인 감사 결과나 자세한 보안 분석을 발표하지 않았습니다. 해킹 이후 GeckoTerminal의 데이터에 따르면 GANA의 토큰 가치는 90% 이상 하락했습니다.
10월 BSC, Ethereum 에서의 DeFi 공격이 냉각되었습니다.
DefiLlama의 해킹 trac에 따르면, 소규모 BSC 기반 프로젝트들은 2025년에만 총 1억 달러 이상의 손실을 입었습니다. GANA 해킹으로 인해 지난 두 달 동안 손실액이 거의 1천만 달러에 달했으며, 여기에는 OlaXBT, Evoq Finance, Seedify, GriffinAI의 네트워크 침해도 포함됩니다.
Cryptopolitan 보고서 dent 에서 1,818만 달러에 불과했으며 , 이는 9월의 1억 2,706만 달러에서 85.7% 감소한 수치입니다. 이달 발생한 주요 dent 는 Garden Finance, Typus Finance, Abracadabra 해킹 사건이 있으며, 이 세 사건으로 총 1,620만 달러의 자금이 도난당했습니다.
분산형 대출 프로토콜이자 Magic Internet Money(MIM) 스테이블코인을 만든 Abracadabra는 공격자가 동일한 거래 내에서 작업을 처리trac계약 방식의 결함을 악용해 180만 달러의 손실을 입었습니다.
Typus Finance는 맞춤형 가격 오라클의 액세스 제어 취약점으로 인해 340만 달러의 손실을 입었고, Garden Finance는 여러 블록체인 네트워크에 연결된 단일 솔버로 인해 1,100만 달러의 손실을 입었습니다.
이번 달, Balancer는 DeFi 중 하나를 겪었 . 여러 네트워크에서 래핑된 ETH와 기타 자산이 몇 시간 동안 사기를 당했습니다. 블록체인 조사관들은 약 7천만 달러의 손실을 추산했지만, 네트워크 개발자들이 통제권을 되찾으면서 손실액은 1억 1천6백만 달러를 넘어섰습니다.
다음 날, 다중 체인 대출 프로토콜인 문웰(Moonwell)이 악용되어 약 100만 달러의 손실을 입었습니다. 공격자는 가격 차이를 이용하여 특정 래핑된 ETH 자산을 대출하고 거래하여 295 ETH를 챙겼습니다.
Defi Llama 데이터 에 따르면 , 2025년 크로스 체인 브리지 해킹으로 인해 2025년 중반까지 15억 달러 이상의 자금이 도난당했으며, 재진입 버그로 인해 3억 2,500만 달러의 손실이 발생했는데, 특히 오래되거나 포크된 계약에서 큰 피해를 입었습니다 trac 오라클 조작은 공격의 13%를 차지했고, 유동성 풀 유출로 인해 1억 300만 달러의 자산이 도난당했습니다.
