DeFi 세계는 다시 한번 폭풍의 눈에 휩싸였습니다.
11월 3일, Balancer V2 아키텍처 기반 여러 프로젝트가 치밀하게 계획된 공격을 받아 1억 2천만 달러 이상의 손실을 입었습니다. 이 사건은 이더리움 메인넷뿐만 아니라 Arbitrum, Sonic, Berachain 등 다른 체인에도 영향을 미쳐 Euler Finance와 Curve Finance 사건에 이어 또 다른 업계 전체의 보안 침해로 이어졌습니다.
BlockSec의 예비 분석에 따르면 이는 "매우 복잡한 가격 조작 공격"으로 보입니다. 공격의 핵심은 공격자가 BPT(Balancer Pool Token) 가격 계산 로직을 조작하는 것입니다. 공격자는 불변량의 반올림 오류를 악용하여 가격 왜곡을 유발하고 단일 거래소에서 반복적으로 수익을 창출합니다.
Arbitrum에 대한 공격 거래를 예로 들면, 공격은 세 단계로 구성됩니다.
- 공격자는 먼저 BPT를 기초 자산으로 교환한 후 cbETH 잔액을 반올림 경계(약 9)에 맞춰 정밀하게 조정하여 이후 정밀도가 저하될 수 있는 조건을 만들었습니다.
- 이후, 다른 기초 자산인 wstETH와 cbETH 간에 특정 금액(=8)이 교환됩니다. 스케일링 과정에서 반올림을 적용하여 계산된 Δx가 약간 감소하여 Δy가 과소평가됩니다. 이로 인해 안정성 풀 불변량 D가 작아지고, 이는 BPT의 이론적 가격을 낮추는 결과를 초래합니다.
- 마지막으로 공격자는 기초 자산의 교환을 BPT로 되돌려 중재를 통해 하락된 가격을 이용해 이익을 얻었습니다.
간단히 말해, 이것은 수학과 코드의 경계를 기반으로 한 정밀 공격이었습니다.
Balancer는 V2 구성 가능 안정형 풀(Composable Stable Pool)이 취약점으로 인해 손상되었음을 공식 확인했습니다. Balancer 팀은 현재 최고 보안 연구원들과 조사에 협력하고 있으며, 최대한 빨리 전체 사고 후 분석 보고서를 공유하겠다고 약속했습니다. 일시 중지 가능한 모든 영향을 받은 풀은 즉시 동결되어 복구 모드로 전환되었습니다. 이 취약점은 V2 구성 가능 안정형 풀에만 영향을 미치며, Balancer V3 또는 다른 풀 유형에는 영향을 미치지 않습니다.
Balancer V2 취약점 사고 이후 Balancer를 포크한 프로젝트들은 상당한 변동성을 경험했습니다. DeFiLlama 데이터에 따르면, 11월 4일 기준 관련 프로젝트의 총 잠금 가치(TVL)는 약 4,934만 달러로, 단 하루 만에 22.88% 감소했습니다. 그중 Berachain의 네이티브 DEX인 BEX는 TVL이 26.4% 감소한 4,027만 달러를 기록하며 전체 생태계의 81.6%를 차지했지만, 온체인 다운타임과 유동성 동결로 인해 자본 유출이 지속되었습니다. 또 다른 피해자인 Beets DEX는 더욱 심각한 상황으로, 24시간 TVL이 75.85% 급락했고 지난 7일 동안 누적 감소폭은 거의 79%에 달했습니다.
앞서 언급한 계약 외에도 Balancer 아키텍처를 기반으로 하는 다른 DEX들도 공황 매도를 경험했습니다. PHUX는 하루 만에 26.8%, Jellyverse는 15.5%, Gaming DEX는 89.3% 폭락하며 유동성이 거의 완전히 고갈되었습니다. KLEX Finance, Value Liquid, Sobal과 같이 직접적인 영향을 받지 않은 소규모 프로젝트들조차 일반적으로 5~20%의 자금 유출을 기록했습니다.
체인 반응이 나타나기 시작했고, 베라체인은 긴급하게 하드 포크를 실시했습니다.
Balancer V2에서 시작된 이 취약점은 빠르게 더 큰 연쇄 반응을 촉발했습니다.
코스모스 SDK를 기반으로 구축된 신흥 퍼블릭 블록체인 베라체인(Berachain) 또한 몇 시간 만에 해킹을 당했습니다. BEX 역시 Balancer V2 컨트랙트 아키텍처를 사용하기 때문입니다. 이 이상 징후를 발견한 후, 재단은 즉시 "전체 체인 중단"을 발표했습니다.
BEX의 USDe Tripool과 기타 유동성 풀 자산이 침해되어 약 1,200만 달러 상당의 자금이 유출된 것으로 보고되었습니다. 공격자는 Balancer와 동일한 논리적 취약점을 악용하여 여러 스마트 컨트랙트 상호작용을 통해 자금을 훔쳤습니다. 일부 자산이 네이티브 토큰이 아니었기 때문에 팀은 복구 및 추적을 완료하기 위해 하드포크를 통해 특정 블록을 롤백해야 했습니다.
한편, Ethena, Relay, HONEY를 포함한 Berachain 생태계 내의 여러 프로토콜도 방어 조치를 구현했습니다.
- USDe 크로스체인 전송은 금지되어 있습니다.
- 대출시장과 관련된 예금을 중단합니다.
- 꿀의 주조와 환수를 중단하십시오.
- 블랙리스트에 있는 의심스러운 주소를 중앙 거래소에 알립니다.
베라체인 재단은 베라체인 네트워크 중단이 계획되어 있었으며, 곧 정상 운영을 재개할 것이라고 밝혔습니다. 밸런서 취약점은 비교적 복잡한 스마트 컨트랙트 거래로 인해 Ethena, Honey, Ethena 풀에 주로 영향을 미쳤습니다. 이 취약점은 BERA뿐만 아니라 네이티브가 아닌 자산에도 영향을 미쳤기 때문에 롤백/롤포워드 프로세스는 단순한 하드포크가 아닙니다. 따라서 최종 해결책이 결정될 때까지 포괄적인 해결책을 마련하기 위해 네트워크가 중단될 예정입니다.
11월 4일, 베라체인 재단은 하드포크 바이너리가 배포되었고 일부 검증인 노드가 업그레이드되었다고 발표했습니다. 정식 출시 및 블록 생성에 앞서, 온체인 운영에 필요한 핵심 인프라 파트너(예: 청산 오라클)의 RPC 업데이트 여부를 확인하고자 합니다. RPC 업데이트는 온체인 운영 복구의 주요 장애물이 될 수 있기 때문입니다. 핵심 서비스에 대한 RPC 요청을 완료한 후, 베라체인 재단은 크로스 체인 브리지, CEX 파트너, 커스터디언 등과 협력하여 서비스를 복구할 예정입니다.
한편, 블록체인이 중단된 후 베라체인 MEV 봇 운영자가 재단에 연락하여 자금을 인출할 "화이트햇"이라고 주장하며 온체인 메시지를 보냈습니다. 이들은 블록체인이 활성화된 후 자금을 다시 이체할 수 있도록 일련의 거래에 사전 서명할 의향이 있음을 밝혔습니다.
보안이 우선인가, 분산화가 우선인가?
"이것이 논란의 여지가 있다는 것을 알고 있지만, 약 1,200만 달러 상당의 사용자 자산이 위험에 처해 있는 상황에서 사용자를 보호하는 것이 유일한 선택입니다." Berachain의 공동 창립자인 스모키 더 베라는 "중앙집중화"에 대한 커뮤니티 질문에 답하며 이렇게 말했습니다.
그는 성명에서 베라체인이 아직 이더리움 수준의 탈중앙화를 달성하지 못했으며, 검증인 간의 조정 메커니즘은 자동화된 합의 네트워크라기보다는 "위기 지휘 센터"에 가깝다고 인정했습니다. 취약점 발생 후 한 시간 만에 온체인 노드가 동시에 종료된 것은 중앙집중식 의사 결정의 효율성을 보여주는 동시에 거버넌스 계층의 중앙화 수준을 드러냅니다.
지역 사회의 반응은 즉각적으로 엇갈렸다.
지지자들은 이러한 움직임이 사용자 보안에 대한 팀의 책임감을 반영하며 "분산화에 대한 현실적인 접근 방식"이라고 주장합니다. 반면 반대자들은 이것이 "코드는 법이다"라는 원칙을 위반하고 체인상의 돌이킬 수 없는 상태를 노골적으로 배신하는 것이라고 비난합니다.
블록체인 탐정 ZachXBT는 자신의 논평에서 "사용자의 자금이 걸려 있다는 점을 감안하면 어렵지만 올바른 결정이었다"고 밝혔습니다.
하지만 일부 급진적인 개발자들은 "블록체인이 언제든지 멈출 수 있다면, 기존 금융 시스템과 무슨 차이가 있겠는가?"라고 직설적으로 말했습니다.
DAO 사건의 그림자가 다시 나타났다.
이 사건은 많은 업계 관계자들에게 2016년 이더리움 DAO 해킹 사건을 떠올리게 했습니다. 당시 이더리움은 도난당한 5,000만 달러를 회수하기 위해 하드 포크를 통해 거래를 롤백하기로 결정했고, 이로 인해 커뮤니티는 이더리움(ETH)과 이더리움 클래식(ETC)으로 분열되었습니다.
9년 후, 비슷한 선택이 다시 나타났습니다.
이 사건은 많은 업계 관계자들에게 2016년 이더리움 DAO 해킹 사건을 떠올리게 했습니다. 당시 이더리움은 도난당한 5,000만 달러를 회수하기 위해 하드 포크를 통해 거래를 롤백하기로 결정했고, 이로 인해 커뮤니티는 이더리움(ETH)과 이더리움 클래식(ETC)으로 분열되었습니다.
9년 후, 비슷한 선택이 다시 나타났습니다.
이번의 차이점은 주인공이 아직 개발 초기 단계에 있는 퍼블릭 블록체인이라는 점입니다. 탈중앙화 기능이 충분하지 않고, 글로벌 합의를 뒷받침할 규모도 부족합니다.
베라체인의 개입으로 추가 손실은 막았지만, 블록체인이 실제로 자율성을 가질 수 있는지에 대한 철학적 의문이 다시 제기되었습니다.
어떤 의미에서 이는 DeFi 생태계의 반영이기도 합니다. 보안, 효율성, 분산화는 이 세 가지 요소 간의 균형을 제대로 이룬 적이 없습니다.
해커가 단 몇 초 만에 수천만 달러 상당의 자산을 파괴할 수 있는 상황에서 "이상"은 종종 "현실"로 대체되어야 합니다.
Balancer는 해당 팀이 최고 보안 연구원들과 협력하고 있으며, 사고 후 전체 분석 보고서를 발표할 계획이라고 밝혔으며, 사용자들에게 보안 팀을 사칭하는 사기 메시지에 주의할 것을 당부했습니다.
베라체인은 하드 포크가 완료된 후 블록 생산 및 거래 기능을 점진적으로 복구할 것으로 예상합니다.
하지만 신뢰 회복은 취약점을 해결하는 것보다 더 어렵습니다. 새롭게 부상하는 퍼블릭 블록체인의 경우, 체인 일시 정지는 단기적인 해결책일 수 있지만, 커뮤니티에 장기적인 피해를 입힐 수 있습니다. 사용자들은 탈중앙화의 진정성에 의문을 제기할 것이고, 개발자들은 불변성 보장이 여전히 존재하는지 걱정할 것입니다.
DeFi의 세계는 분산화를 재정의하고 있을지도 모릅니다. 절대적인 자유방임이 아니라 위기 속에서 최소한의 타협으로 합의를 찾는 것입니다.
모든 댓글