Private Key 유출과 OpSec 부재로 인한 500k 자산 탈취 사건

Context

EOA 기반의 단일 소유권 구조를 가진 AethirOFTAdapter의 권한 관리 체계. 관리자 권한 변경 시 제약 조건이 없는 취약한 Operational Security 구조 설계.

Technical Solution

• Private Key 탈취를 통한 Adapter 계약의 Ownership 강제 변경
• Admin Privilege 획득 즉시 계약 로직을 임의로 수정 가능한 구조 활용
• Multisig 미도입으로 인한 단일 지점 실패(Single Point of Failure) 발생
• Time-lock mechanism 부재에 따른 공격자의 즉각적인 자금 인출 실행
• 코드 자체의 결함이 아닌 운영 프로세스 설계의 근본적 결함 노출

Impact

• 약 500k 규모의 자산 탈취 발생

Key Takeaway

Smart Contract 보안은 코드 정밀 검증뿐만 아니라 권한 관리 체계와 같은 Operational Security 설계가 병행되어야 함.