Yearn Finance, 900만 달러 규모 해킹 피해…해커 ’무한 yETH 토큰’ 발행
가장 잘 알려진 디파이(DeFi) 플랫폼 중 하나인 Yearn Finance가 약 900만 달러 규모의 손실을 초래한 대규모 보안 사고를 겪었다. 이번 공격은 Yearn의 yETH 토큰과 연결된 맞춤형 스테이블스왑 풀을 대상으로 했으며, 해커가 거의 무제한의 토큰을 발행하고 단일 거래로 풀을 비울 수 있게 했다.
주요 내용은 다음과 같다.
공격 발생 경로
Yearn Finance에 따르면, 이 문제는 11월 30일 21:11(UTC) 경에 발생했다. 영향을 받은 계약은 Yearn의 주요 제품과는 다르게 설계되었지만, 해당 코드의 취약점으로 인해 공격자가 시스템이 허용하는 범위를 훨씬 초과하는 거의 무한한 수의 yETH 토큰을 발행할 수 있었다.
이 가짜 토큰으로 그들은 풀에서 실제 ETH와 유동성 스테이킹 자산을 인출했다.
주요 스테이블스왑 풀에서 약 800만 달러가 유출되었고, Curve의 yETH-WETH 풀에서 추가로 90만 달러가 인출되었다. 피해 규모는 약 900만 달러에 달한다.
300만 달러, 토네이도 캐시를 통해 세탁
블록체인 보안 업체 PeckShieldAlert는 공격자가 약 1,000 ETH(300만 달러 상당)를 거래 내역을 숨기는 데 자주 사용되는 플랫폼인 토네이도 캐시(TORNado Cash)로 신속하게 이동시켰다고 확인했다. 나머지 약 600만 달러 상당의 피해금은 여전히 공격자의 지갑 주소(0xa80d…c822)에 남아 있다.
#PeckShieldAlert YeARn Finance @yearnfi가 공격을 받아 총 약 900만 달러의 손실이 발생했습니다. 이 악용 사례는 거의 무한한 수의 yETH 토큰을 발행하여 단일 거래로 풀을 고갈시키는 방식을 포함했습니다. 약 1K $ETH(약 300만 달러 상당)가 #TornadoCash로 전송되었으며, 공격자의… pic.twitter.com/IXNygpwoWa
— PeckShieldAlert (@PeckShieldAlert) 2025년 12월 1일해당 지갑에는 현재 ETH, pxETH, frxETH, cbETH, Lido stETH, Rocket Pool rETH가 혼합되어 보관 중이다. 이 중 대부분은 현재 스테이킹된 상태로, 복구를 지연시키거나 잠재적인 법적 조치를 복잡하게 만들려는 시도로 보인다.
Yearn Finance의 대응
Yearn Finance 팀은 신속히 대응하여, 이번 악용 사례가 레거시 yETH 제품에만 국한된 것이며 활성화된 볼트와 사용자 자금은 안전하게 유지된다고 확신시켰다.
그들은 보안 팀 및 감사인과 협력하여 사건을 추가 조사 중이다. 현재까지 복구 계획은 발표되지 않았다.
공격 소식 이후 시장 반응으로 Yearn의 거버넌스 토큰(yfi)은 사건 발생 후 약 4.4% 하락하여 약 3,956달러 근처에서 거래되고 있다.
번역: NEOnSpectreX
