와이언 파이낸스, 900만달러 yETH 해킹 사건 조사 결과 발표…블록체인 보안의 ’또 다른’ 교훈

디파이 플랫폼을 뒤흔든 900만 달러 규모의 해킹 사건이 마침내 공식적인 결론을 맞았다.

와이언 파이낸스가 yETH 풀을 표적으로 한 지난 해킹 사건의 조사 결과를 발표했다. 플랫폼 측은 취약점을 악용한 공격 경로를 상세히 복원했으며, 피해 규모는 약 900만 달러에 달하는 것으로 확인됐다.

스마트 컨트랙트의 숨겨진 결함

조사 보고서는 공격의 핵심이 특정 스마트 컨트랙트 로직의 예상치 못한 상호작용에 있었다고 지적한다. 공격자는 이를 교묘히 조합해 자금을 불법적으로 인출하는 데 성공했다. 이는 아무리 많은 감사를 거친 코드라도 완벽하지 않을 수 있음을 다시 한번 보여주는 사례다.

블록체인 보안의 진화하는 전장

이번 사건은 디파이 생태계가 직면한 지속적인 보안 도전 과제를 부각시킨다. 해커들의 기법은 날로 정교해지고 있으며, 수백만 달러가 순식간에 증발하는 위험은 여전히 현실이다. 일각에서는 '코드는 법이다'라는 신봉이 때로는 '코드의 버그가 법이 된다'는 냉소적인 현실로 전환될 수 있음을 지적한다.

사고 처리와 미래의 대응

와이언 파이낸스는 사건 이후 해당 취약점을 패치하고 보상 절차를 진행 중이라고 밝혔다. 그러나 이번 사건은 사용자들에게 기본적인 보안 수칙—큰 금액을 단일 풀에 예치하지 않기, 프로토콜의 보안 감사 기록 확인하기—의 중요성을 다시금 일깨워준다. 결국, 탈중앙화 금융의 가장 큰 약점은 중앙화된 실패 지점이 아니라, 인간이 작성한 코드 그 자체일지도 모른다.

[디지털투데이 황치규 기자]디파이 프로토콜 와이언 파이낸스(Yearn Finance)가 900만달러 규모 yETH 해킹 사건에 대한 조사 결과와 대응책을 발표했다고 더블록이 8일(현지시간) 보도했다.

이번 공격은 스테이블스왑 풀에 있는 수학적 오류를 악용해 LP 토큰을 무한정 발행하면서 발생했다.

공격자는 이더리움 네트워크에서 yETH 풀을 대상으로 세 단계에 걸쳐 공격을 수행했다. 먼저, 'add_liquidity deposits'를 통해 풀이 처리할 수 없는 상태로 만들었고, 이를 통해 LP 토큰을 과다 발행했다. 이후 'remove_liquidity' 기능을 반복적으로 호출해 거의 모든 유동성을 빼냈다. 마지막으로, 풀 초기화를 위한 'bootstrap' 경로를 악용해 또 다시  무한정으로 LP 토큰을 생성하며 yETH/ETH Curve 풀까지 고갈시켰다고 더블록은 전했다.

와이언 파이낸스는 이번 사건으로 일부 자산을 회수했다고 밝혔다. 857.49 pxETH를 복구했으며, 해당 자산은 피해를 입은 yETH 예치자들에게 배분될 예정이다. 공격 직후 와이언 파이낸스는 긴급 대응팀을 소집했고, 해커는 탈취한 자산 중 1000 ETH를 토네이도 캐시(Tornado Cash) 믹서를 통해 세탁했다. 이후 추가적으로 300만달러 상당 ETH가 믹서를 통해 이동한 것으로 확인됐다.

와이언 파이낸스는 이번 사건을 통해 플랫폼이 직접적인 책임을 지지 않는다고 강조했다. yETH는 사용자 자율 운영 시스템(YIP-72)에 따라 사용자가 스스로 리스크를 감수해야 하는 구조이며, 회수된 자산은 피해자들에게 재분배된다고 밝혔다. 현재까지 240만달러 상당의 pxETH가 회수된 상태다.

와이언 파이낸스는 향후 유사한 사건을 방지하기 위해 수학적 오류를 차단하는 보안 조치를 강화할 계획이다.