디파이 프로토콜 Yearn, 취약점 노출로 약 900만 달러 피해

보안업체 SlowMist에 따르면, 12월 1일 디파이(DeFi) 프로토콜 Yearn이 해킹 공격을 받아 약 900만 달러의 피해를 입었다. 공격은 Yearn의 yETH 가중치 스테이블 스왑 풀(Weighted Stableswap Pool) 내 공급량 계산 함수(_calc_supply)에 존재한 수학적 취약점을 이용한 것으로 확인됐다.

SlowMist는 해당 함수가 계산 과정에서 오버플로우와 반올림 오차를 허용해 실제 공급량과 가상 잔액 사이의 계산에 큰 편차가 발생했다고 분석했다. 공격자는 이를 통해 유동성을 조작하고 유동성 풀(LP) 토큰을 과잉 발행해 부당한 수익을 올렸다.

Yearn은 앞서 성명을 내고, 11월 30일 21시 11분(UTC)에 yETH 풀이 공격을 받았으며, 이로 인해 약 800만 달러가 피해를 입었고 추가로 yETH-WETH Curve 풀에서 약 90만 달러 손실이 발생했다고 설명했다.

SlowMist는 유사한 사고 방지를 위해 경계 시나리오 테스트 강화와 안전성이 검증된 산술 연산 도입을 권고했다.