본문으로 건너뛰기

Gondi의 23만 달러 규모 NFT 대출 익스플로잇: 호출자 검증 누락으로 인한 78개의 블루칩 NFT 탈취 사건

· 약 8 분
Dora Noda
Dora Noda
Software Engineer

단 하나의 권한 확인 누락. 17일간 감지되지 않은 공격. 한 번도 트랜잭션을 실행한 적 없는 지갑에서 Art Blocks, Doodles, Beeple 작품을 포함한 78개의 블루칩 NFT가 유출되었습니다. 2026년 3월 9일 발생한 Gondi 익스플로잇은 "편의 기능"이 어떻게 공격 표면이 될 수 있는지, 그리고 왜 NFT 대출 부문이 대체 가능한 토큰(Fungible-token) 기반의 DeFi와는 다른 보안 과제에 직면해 있는지를 보여주는 전형적인 사례입니다.

Gondi란 무엇이며 왜 중요한가

Gondi는 사용자가 오라클 없이, 강제 청산 없이, 일할 계산된 이율로 NFT를 담보로 WETH, USDC 또는 HYPE를 빌릴 수 있게 해주는 탈중앙화 P2P (Peer-to-Peer) NFT 대출 프로토콜입니다. 1억 달러 이상의 총 예치 자산 (TVL), 4,500만 달러의 미상환 부채, 150개 이상의 지원 컬렉션에서 연간 4억 달러 이상의 대출 규모를 기록하며, Gondi는 업계 최대 규모의 NFT 유동성 마켓플레이스 중 하나로 자리 잡았습니다.

이 프로토콜은 즉각적인 부분 리파이낸싱 (Refinancing), 지속적인 인수 (Underwriting), 멀티 트랜치 대출과 같은 혁신적인 기능을 도입했습니다. 그중 하나인 "Sell & Repay (판매 및 상환)"는 차입자가 단일 번들 트랜잭션으로 에스크로된 NFT를 판매하고 대출금을 자동으로 상환할 수 있게 하여 마찰과 가스 비용을 줄여주는 편의 기능이었습니다.

바로 이 편의 기능이 공격 벡터가 되었습니다.

익스플로잇 분석

취약한 컨트랙트

2026년 2월 20일, Gondi는 Sell & Repay 컨트랙트의 업데이트된 버전을 배포했습니다. 새 버전에는 일괄 작업을 위해 설계된 "Purchase Bundler" 기능이 포함되었습니다. 그러나 이 기능에는 치명적인 결함이 있었습니다. 호출자 (msg.sender)가 거래되는 NFT의 정당한 소유자 또는 차입자인지 제대로 확인하지 않은 것입니다.

공격의 전개 과정

배포 17일 후인 3월 9일, 공격자는 이 허점을 발견하고 악용했습니다:

  1. 정찰 (Reconnaissance): 공격자는 퍼블릭 블록체인 데이터를 스캔하여 취약한 Gondi 컨트랙트에 활성 토큰 승인 (Approval)을 부여한 지갑을 찾아냈습니다.
  2. 조작된 호출 (Crafted Calls): 공격자는 자신의 지갑을 사용하여 타겟 NFT 세부 정보가 포함된 위조된 executionData와 함께 Purchase Bundler 기능을 호출했습니다.
  3. 권한 우회 (Bypassed Authorization): 컨트랙트가 호출자가 정당한 소유자인지 확인하지 않았기 때문에, 모든 호출을 정상적인 것으로 처리했습니다.
  4. 승인을 이용한 자산 유출 (Drained via Approvals): 컨트랙트는 기존 사용자 승인을 이용해 피해자의 지갑에서 NFT를 전송했습니다. 피해자는 새로운 트랜잭션에 서명할 필요조차 없었습니다.

약 40회의 트랜잭션을 통해 공격자는 78개의 NFT를 Etherscan에서 현재 "GONDI Exploiter"로 라벨링된 주소로 빼돌렸습니다.

도난당한 자산

유출된 자산에는 NFT 생태계에서 가장 인지도 높은 컬렉션들이 포함되었습니다:

  • 44개의 Art Blocks 토큰 — 이더리움에서 가장 명망 있는 컬렉션 중 하나인 제너러티브 아트 작품들
  • 10개의 Doodles — 강력한 커뮤니티 지지를 받는 블루칩 PFP 컬렉션
  • 2개의 Beeple "Spring Collection" 작품 — 6,900만 달러의 크리스티 경매로 NFT 붐을 일으킨 작가의 작품
  • 22개 이상의 추가 NFT — SuperRare 및 기타 고가치 컬렉션 자산

NFT 수집가 tinoch은 단일 피해자 (지갑 0x8d1...47051)가 약 55 ETH (약 108,000달러)를 잃었으며, 이는 전체 피해액의 거의 절반에 해당한다고 추정했습니다.

기존 보안 감사가 이를 놓친 이유

해당 취약점은 이미 감사를 거치고 검증된 Gondi의 핵심 대출 로직에 있었던 것이 아닙니다. 새로 배포된 컨트랙트의 일부인 주변 "편의" 기능 — Purchase Bundler — 에 존재했습니다. 표준 보안 감사 범위는 일반적으로 담보 처리, 청산 로직, 이자 계산과 같은 핵심 프로토콜 메커니즘에 집중됩니다. 초기 배포 이후 추가된 주변 기능은 정밀 조사를 덜 받는 경우가 많으며, 이는 공격자가 구체적으로 노리는 사각지대를 만듭니다.

이러한 패턴은 매우 흔하게 나타납니다. 2024-2025년 보안 데이터에 따르면, 접근 제어 취약점으로 인한 피해액은 9억 5,320만 달러에 달합니다. Gondi의 버그가 속한 카테고리인 비즈니스 로직 결함은 OWASP 스마트 컨트랙트 취약점 순위에서 2위로 상승했으며, 이는 DeFi의 복잡성이 증가하고 있음을 반영합니다.

Gondi의 대응: 위기 관리 사례 연구

익스플로잇 발생 후 Gondi의 대응은 매우 신속하고 투명했으며, 프로토콜이 보안 사고를 어떻게 처리해야 하는지에 대한 기준을 제시했습니다.

즉각적인 조치

  • 몇 시간 내에 취약한 Sell & Repay 컨트랙트를 식별하고 비활성화했습니다.
  • 활성 대출 담보는 영향을 받지 않았음을 확인했습니다. 현재 활성 대출 상태가 아닌 유휴 NFT (현재 대출에 사용되지 않는 자산)들만 취약한 상태였습니다.
  • Blockaid 및 독립 리뷰어들의 긴급 감사를 거친 후, 다음 날 대부분의 플랫폼 운영을 재개했습니다.

보상 전략

단순히 ETH로 보상하는 대신, Gondi는 더 세심한 접근 방식을 취했습니다:

  • 직접 회수: 팀은 2차 시장에서 도난당한 NFT를 추적하여 해당 자산이 익스플로잇에서 비롯된 것인지 모른 채 구매한 구매자들을 찾아냈습니다. 해당 아이템들은 원래 소유자에게 반환되고 있습니다.
  • 유사 자산 대체: 직접 회수가 불가능한 NFT의 경우, Gondi는 프로토콜 수수료를 사용하여 동일한 컬렉션에서 "유사한 아이템"을 구매하기 시작했습니다. 팀은 "정확히 동일한 작품은 아니지만, 이것이 공정하고 의미 있는 해결책이라고 믿는다"고 밝혔습니다.
  • 개별 조율: 팀은 피해 여부와 관계없이 취약한 컨트랙트와 상호작용한 모든 사용자에게 직접 연락을 취했습니다.

이러한 접근 방식은 NFT만의 독특한 특성을 인정한 것입니다. 대체 가능한 토큰과 달리, 각 NFT는 고유한 특징을 가집니다. 특정 Art Blocks 제너러티브 작품이나 특정 Doodle을 잃은 수집가에게 ETH로 "동등한 가치"를 돌려주는 것만으로는 충분하지 않을 수 있기 때문입니다.

NFT 대출 생태계를 위한 교훈

1. 승인 위생 (Approval Hygiene)은 타협할 수 없는 필수 요소입니다

이번 익스플로잇은 사용자가 취약한 컨트랙트에 대해 활성 토큰 승인 (Approval)을 유지했기 때문에 가능했습니다. 이는 DeFi 및 NFT 플랫폼 전체의 고질적인 문제입니다. 사용자는 관행적으로 스마트 컨트랙트에 무제한 승인을 부여하고 이를 절대 취소하지 않습니다.

사용자 가이드: Revoke.cash 또는 Etherscan의 토큰 승인 확인 도구를 사용하여 불필요한 토큰 승인을 정기적으로 감사하고 취소하십시오. 승인 권한은 필요한 최소 수량과 기간으로 제한해야 합니다.

2. 주변 기능에도 핵심 수준의 감사가 필요합니다

'Sell & Repay Purchase Bundler'는 편의 기능이었을 뿐, 핵심 대출 로직이 아니었습니다. 하지만 이 기능은 동일한 사용자 승인 및 컨트랙트 권한에 접근할 수 있었습니다. 사용자 자산을 이동할 수 있는 모든 기능은 아무리 "보조적"인 것으로 보일지라도 프로토콜의 주요 기능과 동일한 수준의 엄격한 감사를 받아야 합니다.

3. 배포 후 모니터링 및 시간 차 도입

취약한 컨트랙트는 공격이 발생하기 전까지 17일 동안 라이브 상태로 유지되었습니다. 프로토콜은 다음과 같은 조치를 구현해야 합니다:

  • 신규 컨트랙트에 대한 이상 탐지를 포함한 배포 후 모니터링
  • 전체 배포 전 거래 한도를 설정하여 새로운 기능을 출시하는 단계적 롤아웃 (Staged rollouts)
  • 컨트랙트 업그레이드 후 초기 30일 동안의 버그 바운티 강화

4. NFT 대출만의 독특한 보안 과제

자산 간 교환이 가능한 대체 가능 토큰 기반 DeFi와 달리, NFT 대출 프로토콜은 다음과 같은 문제에 직면합니다:

  • 대체 불가능한 특정 자산을 탈취할 수 있는 승인 기반 공격 벡터
  • 서로 다른 표준을 가진 수백 개의 컬렉션에 걸친 복잡한 담보 관리
  • 도난당한 자산이 2차 시장에 유입되어 선의의 구매자가 연루될 때의 복구 복잡성
  • 유사한 대체 자산이 존재하지 않을 때 발생하는 '완전한 보상'을 어렵게 만드는 가치 평가의 모호함

현재 78개 이상의 NFT 대출 및 렌탈 플랫폼이 운영되고 있는 만큼, 업계는 공동 보안 표준과 통합된 취약점 공개 프레임워크를 마련해야 합니다.

더 넓은 관점에서의 스마트 컨트랙트 보안 환경

Gondi의 익스플로잇은 고립된 사건이 아닙니다. 2025년 상반기에만 스마트 컨트랙트 익스플로잇으로 31억 달러의 손실이 발생했습니다. 공격자들은 이제 취약점 발견 후 평균 5일 이내에 이를 악용하며, 이는 불과 2년 전의 32일에서 크게 단축된 수치입니다. 즉, 탐지 및 패치를 위한 골든 타임이 빠르게 줄어들고 있습니다.

2025년 기준 종합적인 스마트 컨트랙트 감사는 보통 $25,000에서 $150,000 사이의 비용이 발생합니다. MythX나 Slither와 같은 정적 분석 도구는 알려진 취약점 패턴의 약 92%를 탐지할 수 있지만, Gondi 익스플로잇을 가능하게 했던 비즈니스 로직 결함과 같은 특이 케이스의 로직 문제는 여전히 놓치기 쉽습니다.

교훈은 명확합니다. 감사는 필요하지만 충분하지 않습니다. 프로토콜은 형식 검증 (Formal Verification), 지속적인 모니터링, 단계적 배포, 활발한 버그 바운티 프로그램을 포함한 계층화된 보안 체계를 갖춰야 합니다.

향후 전망

Gondi 사건은 NFT 대출 분야의 여러 트렌드를 가속화할 것으로 보입니다:

  • NFT 담보 및 대출 프로토콜을 위해 특별히 설계된 보험 상품
  • NFT 전용 스마트 컨트랙트 상호작용을 위한 표준화된 보안 프레임워크
  • 대출 프로토콜 인터페이스에 직접 통합된 온체인 승인 관리 도구
  • 비정상적인 승인 기반 전송을 감지하는 실시간 모니터링 대시보드

Gondi의 투명한 대응과 전액 보상 약속은 장기적으로 사용자 신뢰를 강화할 수도 있습니다. 하지만 이번 익스플로잇은 스마트 컨트랙트 보안에 있어 "사소한" 기능이란 없다는 사실을 다시 한번 일깨워 줍니다. 사용자 자산에 접근하는 모든 함수는 잠재적인 공격 표면이며, 누락된 require 문 하나가 치명적인 디지털 예술품 손실로 이어질 수 있습니다.

블록체인 인프라를 구축하려면 모든 레이어에서의 보안이 필요합니다. BlockEden.xyz는 Ethereum, Sui, Aptos 및 20개 이상의 체인에서 개발자를 위한 안정성이 내장된 엔터프라이즈급 RPC 및 API 서비스를 제공합니다. 지속 가능한 기반 위에 구축하려면 API 마켓플레이스를 살펴보세요.

Share on Twitter