주말 사이 발생한 ‘900만달러’ 규모의 디파이 해킹은 오라클 결함이 원인이었고, 문제가 된 헤데라(HBAR) 배포가 끝내 취약점에 노출된 것으로 드러났다. 보노조 렌드(Bonzo Lend)는 공격자가 담보 자산을 비정상적으로 고평가해, 실제 가치보다 훨씬 많은 자금을 빌려갔다고 설명했다.
프로토스(Protos)에 따르면, 이 결함은 블록체인 인프라 업체 수프라 네트워크(Supra Network)가 제공한 오라클에서 발생했다. 수프라는 최근 11개 체인에서 오라클을 패치했지만, 헤데라의 계약은 예외로 남았고 결국 공격 표적이 됐다. 공격 직후 플라스마(Plasma)의 우스만 칸(Usmann Khan)도 수프라가 여러 체인의 오라클을 업그레이드했지만, 보노조 렌드가 사용한 헤데라 계약은 손대지 않았다고 지적했다.
사건 이후 12시간가량 뒤 공개된 보고서에서 수프라는 해당 버그를 ‘암호화학적 엣지 케이스’라고 부르며, 다른 체인 배포를 어떻게 수정했는지는 구체적으로 밝히지 않았다. 다만 “같은 검증자 패턴을 공유하는 다른 오라클 배포도 검토해 동일한 보호 장치가 적용돼 있는지 확인했다”고만 설명했다. 수프라 공동창업자이자 최고경영자(CEO) 조시 토브킨(Josh Tobkin)은 인간이 2년간 놓친 부분을 ‘AI 보조 해킹’이 찾아냈다고 주장했다.
이후 H슈트(HSuite) 창업자 토마치 안우라(Tomachi Anura)가 온체인 활동을 분석한 결과, 수프라는 6월 29일 베이스(Base)부터 7월 3일 폴리곤(MATIC)까지 총 11개 체인의 프록시 업그레이드를 진행한 것으로 나타났다. 다만 헤데라와 퓨즈(Fuse)는 공격 이후에야 수정이 이뤄졌다. 안우라는 소스 검증이 확인된 모든 배포가 같은 ‘SupraSValueFeedVerifier’로 귀결된다고 밝혔지만, 왜 수정이 7월 3일에서 멈췄는지는 여전히 불분명하다.
이번 사례는 디파이에서 오라클 오류가 얼마나 큰 손실로 이어질 수 있는지 다시 보여준다. 외부 가격 데이터를 가져오는 오라클은 대출, 청산, 담보 평가의 핵심 인프라이기 때문에 작은 오차도 곧바로 악용될 수 있다. 실제로 최근 몇 달 사이 오라클 조작으로 발생한 손실은 350만달러를 더했고, 또 다른 사례에서는 단순한 시점 불일치가 에이브(AAVE) 이더리움 시장에서 2700만달러 규모의 잘못된 wstETH 청산으로 번졌다. 오라클 보안이 디파이 전반의 신뢰를 좌우하는 이유가 다시 확인된 셈이다.


