폴리마켓 보안 사고로 폴리곤 토큰 52만 달러dent 유출됨

2026년 5월 22일, Polymarket 보안 사고dent Polygon의 UMA CTF 어댑터trac에서 52만 달러 이상의 담보금이 유출되었습니다.

온체인 조사관 ZachXBT는 , 해당 사건을dent 공격의 진입점으로 손상된 배포자 주소를 지목했습니다. 이번 자금 유출은 UTC 기준 오전 9시경 짧은 ​​시간 동안 발생했습니다.

측에서 공식적인 공지는 게시되지 않았습니다 폴리마켓 보도 시점까지

폴리마켓 사태로 인한 자금 유출은 어떻게 전개되었을까요?

이번 해킹은 0x91430C…E5c5 주소에 있는 Polymarket UMA CTF 어댑터 관리자trac을 대상으로 했습니다. 이 계약은 마켓 담보를 관리하는 메인 어댑터를 관리하는 업그레이드 가능한 프록시입니다. 블록체인에 따르면 관리자trac에서 기록된 초기 이벤트는 UTC 기준 약 09:00:30에 발생했습니다. 이는 프록시 패턴 공격 가능성을 시사하는 경고 신호입니다.

초기 활동 직후 폴리곤의 자체 통화인 POL의 이체 내역이 빠르게 이어졌습니다. 09:00:49에 어댑터 관리자는 폴리마켓 주소에서 5,000 POL을 수신했습니다. 5초 후, 약 9,994 POL을 공격자가 제어하는 ​​계정으로 송금했습니다. 09:01:19에도 5,000 POL이 다시 유입되었고, 09:01:26에는 동일한 공격자 주소로 약 5,000 POL이 송금되었습니다.

두 단계에 걸친 이체로 1분도 채 안 되어 10,000 POL 이상이 어댑터에서 빠져나갔습니다. ZachXBT가 언급한 유출된 주소인 0x871D7c0f와 0xf61e39C7은 공격자가 관리자trac을 통해 인출한 담보 자금을 어댑터로 보냈습니다. 주 공격자 주소는 POL 이체를 수령한 후 곧바로 자금을 통합하기 시작했습니다.

스마트 계약 버그가 아니라 키trac문제입니다

이처럼 관리자trac에 대한 초기화 호출 과정은 UMA 낙관적 오라클 로직 자체의 문제라기보다는 키 도난 및 초기화 취약성의 위험성을 보여줍니다. 해당trac은 UMA 오라클을 기반으로 했지만, 접근 제어 수준에서 침해가 발생하여 해커가 관리자 전용 호출을 수행할 수 있는 권한을 획득했습니다.

배포 과정이 공격자에 의해 탈취된 키를 이용해 진행되었거나, 초기화되지 않은trac프록시가 악용되었을 가능성이 있습니다. 관리자 권한을 획득한 해커는 별도의 공격 도구 없이도 전체 담보금을 인출할 수 있었습니다.

폴리마켓 해킹 사건은 2026년 초에 보고된 유사 사건들과 비슷한 양상을 보입니다. 예를 들어, 스텝 파이낸스 해킹 사건 은 2026년 초에 임원 키와 다중 서명 메커니즘이 유출되어 발생했습니다.

비슷한 사례로 드리프트 프로토콜 해킹 사건이 . 이 사건은 2026년 4월, 사회공학적 기법으로 탈취된 관리자 키로 인해 발생했으며, 이를 통해 가치가 없는 담보물을 화이트리스트에 등록할 수 있었습니다. 해당 스마트 계약에는 소프트웨어 취약점이 없었trac.

공격자의 지갑 활동 및 trac

주소 0x8F98075d는 POL 담보 이체의 목적지였으며, 도난당한 자금이 폴리곤 네트워크 안팎으로 이동할 가능성이 가장 높은 주소이므로 매우 의심스러운 주소로 표시해야 합니다.

마찬가지로, 호출 초기화에 관련된 중간 주소 0x65070BE9도 공격자에 의해 제어될 수 있다고 가정하고 유사한 모니터링이 필요합니다.

과거 경험을 바탕으로 볼 때, 다음 단계는 크로스체인 브리지와 믹싱을 포함할 가능성이 있습니다. 드리프트(Drift), 도난 자금은 Ethereum . 현재까지 용의자 주소에서 대규모 자금이 이더리움으로 유출되었다는 보고는 없습니다.