밸런서, 1억 달러 해킹 사건 해커에 ’최후통첩’..."돌려놓지 않으면 추적 불사"

디파이 프로토콜 '밸런서'가 1억 달러(약 1300억 원) 이상을 탈취한 해커에게 공식 경고를 발령했다. 이번 사건은 2025년 최대 규모의 암호화폐 해킹 사례로 기록될 전망이다.

"돈은 이미 추적 중"

밸런서 보안팀은 블록체인 분석을 통해 자금 이동 경로를 특정했다고 밝혔다. 해커는 탈취한 자금을 믹서 서비스와 크로스체인 브릿지로 우회하려는 흔적을 남겼으나, 체인별 거래 내역은 모두 기록으로 남아있다.

탈중앙화 금융의 아킬레스건

이번 사태는 스마트 계약 취약점을 노린 공격으로 확인됐다. 전문가들은 "디파이 프로젝트의 과도한 수익 추구가 보안 검증을 소홀히 하는 결과를 낳았다"고 지적하며, 일부 프로토콜이 감사 비용을 아끼기 위해 저가의 보안 업체를 이용하는 관행을 신랄하게 비판했다.

72시간의 초읽기

밸런서는 해커에게 3일 내로 전액 반환을 요구하는 최후통첩을 전달했다. "법적 조치를 포함한 모든 수단을 동원할 것"이라는 경고와 함께, 일부 자금이 이미 CEX(중앙화 거래소)로 유입된 점을 근거로 추적 가능성을 강조했다.

현재 해커의 신원이나 소재지에 대한 단서는 공개되지 않았으나, 암호화폐 커뮤니티에서는 이번 사건이 디파이 생태계의 보안 표준을 재평가하는 계기가 될 것이라는 전망이 나오고 있다. 한 트위터 사용자는 "탈중앙화가 장점이자 약점이 되는 아이러니"라며 디파이의 근본적 딜레마를 지적하기도 했다.

[디지털투데이 황치규 기자]디파이 프로토콜 밸런서(Balancer) 탈중앙화 자율 조직(DAO)이 1억달러 이상을 탈취한 해커에게 온체인 경고 메시지를 보냈다고 코인텔레그래프가 7일(현지시간) 보도했다.

밸런서는 V2 컴포저블 스테이블 풀을 대상으로 한 이번 공격과 관련해 해커를 상대로 자금을 반환하면 일정 금액 보상을 제공하겠지만, 기한 내 응답이 없을 경우 기술적·법적 조치에 나설 것이라고 밝혔다.

이번 공격으로 스테이크드 이더(ETH), 스테이크와이즈 스테이크드 ETH(StakeWise Staked ETH), 랩드 이더(WETH),  리도 wstETH(wSTETH) 등 1억달러 이상 자산이 새로운 지갑으로 이동한 것으로 확인됐다. 해커는  V2 스테이블 풀과 컴포저블 스테이블 V5 풀 취약점을 악용한 것으로 드러났다.

밸런서는 해커에게 구체적인 보상 금액을 명시하지 않았지만, 내부적으로는 탈취한 금액에서 최대 20%를 제안한 것으로 알려졌다. 그러나 기한 내 반환이 이뤄지지 않을 경우 강경 대응에 나설 방침이다.