아비트럼(ARB) 기반 디파이 프로젝트에서 약 2,680억 원 규모의 자금이 빠져나갔다. 오라클 가격 데이터를 조작한 ‘정교한 공격’이 원인으로 지목된다.
블록체인 보안 업체 블록에이드에 따르면, 공격자는 오스티움(Ostium)의 유동성 금고에서 약 1,800만 달러(약 268억 원) 상당의 USDC를 탈취했다. 온체인 데이터 분석 결과, 이번 공격은 오라클 시스템의 타임스탬프를 조작하는 방식으로 이뤄졌다.
공격자는 오스티움의 자동화 인프라 구성 요소인 ‘PriceUpKeep 포워더’를 악용했다. 미래 시점의 타임스탬프가 포함된 가격 데이터를 제출해 실제보다 유리한 거래가 발생한 것처럼 꾸민 것이다.
이렇게 조작된 가격 리포트는 시스템상 ‘수익이 발생한 거래’로 인식됐고, 결국 유동성 금고에서 1,800만 달러 규모의 USDC가 자동 지급됐다.
핵심은 가격 자체뿐 아니라 ‘언제의 가격인가’라는 시간 정보였다. 가격 데이터의 신뢰를 전제로 작동하는 디파이 구조의 약점이 그대로 드러난 셈이다.
오스티움은 아비트럼(ARB) 기반 탈중앙화 무기한 선물 거래소로, 원자재·외환·주가지수 등 실물 자산을 최대 200배 레버리지로 거래할 수 있는 플랫폼이다.
이 프로젝트는 자체 가격 피드 시스템을 사용하며, 외부 자동화 네트워크 ‘겔라토(Gelato)’가 온체인에 가격을 반영하는 역할을 맡는다. 이 과정의 핵심 트리거가 ‘PriceUpKeep’ 스마트컨트랙트다.
문제는 이 구조에서 특정 권한 또는 접근 경로를 확보할 경우, 가격 데이터의 입력 시점이나 내용을 조작할 수 있다는 점이다. 공격자는 바로 이 지점을 파고들었다.
이번 사건은 최근 디파이 업계에서 반복되는 ‘오라클 및 키퍼 시스템 공격’ 패턴과 유사하다. 지난주에는 서머파이(Summer.fi)에서 약 600만 달러가 유출된 바 있다.
이들 공격은 단순 해킹이 아니라, 시스템 내 ‘신뢰된 역할’을 탈취하거나 우회해 가격 흐름을 뒤틀고 유동성 풀에서 자금을 빼내는 방식이 특징이다.
전문가들은 “오라클은 디파이의 심장과 같지만, 동시에 가장 취약한 지점이 될 수 있다”고 지적한다.
오스티움은 2025년 말 제너럴 캐털리스트와 점프 크립토가 공동 주도한 시리즈 A 투자에서 2,400만 달러를 유치하는 등, 총 2,780만 달러의 자금을 확보한 프로젝트다. 누적 거래량도 500억 달러를 넘기며 빠르게 성장해왔다.
그러나 이번 사건으로 고속 성장 뒤에 숨겨진 구조적 리스크가 드러났다는 평가가 나온다.
디파이 시장은 여전히 ‘코드 기반 신뢰’ 위에 서 있다. 하지만 이번 사례처럼 데이터 입력 과정이 흔들릴 경우, 그 신뢰는 순식간에 무너질 수 있다는 점이 다시 한 번 확인됐다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사