Edgen Crypto·Nov 25 2025, 13:10Monad 에어드롭 청구 포털의 치명적인 보안 결함으로 공격자가 사용자 자금을 유용했습니다. 세션 하이재킹 문제로 식별된 이 취약점으로 인해 악의적인 행위자가 토큰 할당을 자신의 지갑으로 리디렉션할 수 있었고, 이는 최소 한 명의 사용자에게 상당한 재정적 손실을 초래했으며 프로젝트의 다가오는 메인넷 출시에 그림자를 드리웠습니다.
모나드 블록체인의 최근 에어드롭은 토큰 청구 포털의 치명적인 보안 취약점으로 인해 심각하게 방해받았습니다. 이 결함으로 공격자는 사용자 세션을 하이재킹하여 할당된 MON 토큰을 자신의 지갑으로 리디렉션할 수 있었습니다. 이 익스플로잇은 참여자들에게 확인된 재정적 손실을 초래했으며, 가장 주목할 만한 사례는 한 에어드롭 파머가 전체 112,000달러 할당액을 잃은 것입니다. 이 사건은 에어드롭 캠페인의 보안 프로토콜에 대한 심각한 질문을 제기하며 모나드의 공개 메인넷 출시를 앞두고 잠재적인 평판 손상을 초래할 수 있습니다.
문제의 핵심은 모나드 에어드롭 청구 웹사이트의 세션 하이재킹 취약점이었습니다. 보안 분석가에 따르면, 이 익스플로잇은 악의적인 행위자가 활성 사용자 세션을 가로채 토큰 청구의 대상 지갑 주소를 변경할 수 있도록 허용했습니다. 결정적으로, 시스템은 이 변경을 확인하기 위해 어떠한 2차 확인이나 재인증도 요구하지 않아 리디렉션된 청구가 원활하게 처리될 수 있었습니다.
이 취약점은 알 수 없는 양의 MON 토큰을 의도된 수신자로부터 유용하는 데 악용되었습니다. 가장 두드러지게 보고된 사례는 전체 112,000달러 상당의 할당액을 도용당한 에어드롭 파머와 관련이 있습니다. 초기 보고서 중 일부는 자금이 거래 실패 및 높은 가스 수수료로 인해 손실되었다고 제안했지만, 후속 분석은 손실이 주소 하이재킹 익스플로잇의 직접적인 결과임을 확인했습니다.
모나드에게 이번 보안 침해는 상당한 차질을 의미합니다. 289,000개의 적격 계정에 47억 3천만 개의 MON 토큰이 제공된 이번 에어드롭은 커뮤니티를 구축하고 토큰 공급을 분산하기 위한 대규모 이니셔티브였습니다. 청구 프로세스를 확보하지 못한 것은 프로젝트의 기술 실행 및 운영 보안에 대한 신뢰를 약화시킵니다. 현재 청구된 모든 토큰은 메인넷 출시를 기다리는 동안 에스크로 스마트 계약에 보관되어 있지만, 이 사건은 불확실성과 평판 위험을 초래합니다.
더 넓게 보면, 이 사건은 에어드롭에 내재된 운영 위험을 다시 한번 상기시켜 줍니다. 이러한 캠페인이 Web3에서 사용자 확보를 위한 주요 도구가 됨에 따라, 이를 노리는 공격의 정교함은 증가할 가능성이 있습니다. 이번 사건은 다른 프로젝트들이 의무적인 제3자 청구 포털 감사 및 자금 청구자를 위한 다단계 인증을 포함하여 더 엄격한 보안 조치를 구현하도록 강요할 수 있습니다.
보고서에 따르면, 세션 하이재킹 메커니즘은 포털 설계의 치명적인 결함이었습니다. 'Cos'로 식별된 한 보안 분석가는 익스플로잇이 공격자가 사용자 세션을 '하이재킹'하여 추가 사용자 상호 작용 없이 에어드롭을 리디렉션할 수 있도록 허용했다고 공개적으로 밝혔습니다. 또한, 백햇 해커가 이전에 시스템의 취약점을 발견하고 보고했다는 제안이 있지만, 그것이 최종적으로 악용된 동일한 결함이었는지는 확인되지 않습니다.
이번 사건은 '에어드롭 파밍'—향후 토큰 에어드롭 자격을 얻기 위해서만 프로토콜과 상호 작용하는 관행—이 점점 더 경쟁이 심화되고 위험으로 가득 찬 시장 환경에서 발생했습니다. 참여자들은 이미 높은 거래 수수료와 복잡한 자격 기준과 같은 도전에 직면해 있습니다. 모나드 익스플로잇은 또 다른 위험 계층인 프로토콜 수준의 보안 실패를 추가합니다. 이는 사용자가 프로젝트의 핵심 스마트 계약뿐만 아니라 웹 기반 인프라의 보안도 신뢰해야 한다는 중요한 의존성을 강조합니다. 프로젝트가 사용자를 유치하기 위해 에어드롭을 계속 사용하는 동안, 프로세스의 모든 구성 요소에 대한 보안 표준은 필연적으로 더 엄격한 조사를 받게 될 것입니다.