Yearn 파이낸스, yETH 스마트컨트랙트 해킹으로 900만 달러 탈취당해

Yearn 파이낸스가 대규모 해킹 공격으로 약 900만 달러(약 132억 2,910만 원)의 피해를 입었다. 공격자는 yETH 관련 스마트컨트랙트의 취약점을 악용해 무한정 yETH를 발행한 뒤, 이를 활용해 커스텀 스테이킹 풀에서 유동성을 탈취했다.

이번 사고는 Yearn 파이낸스의 yETH 토큰이 연계된 레거시 스테이블스왑 풀을 타깃으로 이뤄졌다. 블록체인 보안업체 펙쉴드(PeckShield)가 가장 먼저 이 문제를 지적했으며, 공격자는 담보 없이 신규 yETH를 발행할 수 있는 스마트컨트랙트 구조를 노렸다. 이를 통해 stETH, rETH 등 이더리움 스테이킹 파생상품이 모여 있는 커스텀 풀의 유동성을 대량으로 빨아들였다.

해당 공격에는 토네이도 캐시(Tornado Cash)가 자금 세탁 경로로 이용됐으며, 현재까지 약 300만 달러(약 44억 970만 원) 이상의 이더리움(ETH)이 이 경로를 통해 익명화됐다. 나머지 약 600만 달러(약 88억 1,940만 원) 상당의 토큰은 범인의 지갑 주소(0xa80d…c822)에 여전히 남아 있는 상태다.

Yearn 파이낸스는 자체 조사 결과를 토대로 Curve의 yETH-WETH 풀에서 90만 달러(약 13억 2,290만 원), 익스플로잇 풀에서 추가로 800만 달러(약 117억 5,920만 원)가 유출됐다고 공식 발표했다. 일부 사용자에 대해서는 프로젝트 디스코드에서 서포트 티켓을 접수할 수 있도록 안내도 병행했다.

프로젝트 측은 사고 직후 SEAL911 및 보안 감사 파트너 체인시큐리티(Chain Security)와 비상 대응팀을 꾸리고, 사고 원인에 대한 포렌식 분석에 돌입했다. 초기 분석에 따르면, 이번 공격은 최근 있었던 밸런서(Balancer) 프로토콜 공격과 유사한 기술적 복잡성을 가진 것으로 보인다. 당시 공격 역시 정밀도 손실에 따른 계산 오류를 노린 스마트컨트랙트 상의 아키텍처 허점을 이용해 1억 2,000만 달러(약 1,763억 8,800만 원) 이상의 피해를 유발했다.

현재로서는 지갑 추적 및 기술 분석 외에도, 동일한 구조적 취약점을 공유하는 프로젝트에 대한 점검이 시급하다는 지적이 나오고 있다. 특히 DeFi 생태계 내 다양한 커스텀 파생상품 풀들이 향후 더 정교한 공격의 대상이 될 수 있다는 경고도 제기된다.

이번 사건은 불과 며칠 전 발생한 업비트의 5,000만 달러(약 735억 원) 규모 이더리움 피싱 해킹 피해와 맞물리며, 글로벌 주요 플랫폼들이 여전히 보안 리스크에서 자유롭지 않다는 사실을 보여준다. 탈중앙화 금융 인프라의 높은 유연성과 혁신 뒤편에는 여전히 깊은 보안 취약성이 도사리고 있는 셈이다.

기사요약 by TokenPost.ai

🔎 시장 해석

Yearn 파이낸스 해킹은 DeFi 시스템의 커스텀 풀 구조가 얼마나 위험한지를 다시 드러냈다. 스마트컨트랙트 설계에서 발생한 미세한 논리적 허점이 큰 재정적 피해로 이어질 수 있다는 점을 경고한다.

💡 전략 포인트

기존 풀과 디리버티브(pool + derivatives) 구성에 프로토콜 리스크가 존재하는 경우, 레거시 구조의 유지 여부 및 보안 감사 반복성이 향후 핵심이다. 거래자들은 yETH 같은 주변 자산에 대해 리스크 프리미엄을 재평가할 필요가 있다.

📘 용어정리

- yETH: Yearn 파이낸스가 출시한 이더리움 기반 파생 토큰

- 스테이킹 파생상품(stETH, rETH): 이더리움을 스테이킹하거나 이를 변형시켜 유동성을 부여한 자산들

- 정밀도 손실(PRECISION LOSS): 스마트컨트랙트 계산 오류를 유발하는 수학적 부정확성

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.