비너스 익스플로잇 여파 확산…부실채권 발생에 XVS 급락

비너스(Venus) 거버넌스 토큰 비너스(XVS)가 해킹성 ‘익스플로잇’ 여파로 하루 새 9% 넘게 급락했다. BNB체인 기반 머니마켓 비너스는 총예치자산(TVL)이 14억달러(약 2조 986억 원)를 웃도는 대형 디파이(DeFi) 프로토콜이지만, 이번 사고로 약 215만달러(약 32억 원) 규모의 ‘부실채권(bad debt)’이 발생했다.

이번 하락은 위험자산 전반의 매도세가 커진 흐름과도 맞물렸다. 같은 기간 코인데스크20(CD20) 지수는 4.6% 떨어지며 시장 전반이 약세를 보였다. 다만 비너스(XVS)의 낙폭은 개별 악재가 겹치며 더 크게 나타났다는 평가가 나온다.

사고는 3월 16일 비너스의 ‘테나(Thena) 마켓’에서 발생했다. 초기에는 XVS 가격에 즉각적인 반응이 크지 않았지만, 저스틴 선(Justin Sun)과 연결된 것으로 알려진 지갑을 포함해 주요 보유자들이 대규모 물량을 거래소로 옮긴 정황이 분석을 통해 알려지면서 매도 압력이 커진 것으로 전해졌다.

비너스 측에 따르면 공격자는 약 9개월 동안 테나의 THE 토큰을 대량으로 모아 포지션을 키웠다. 보안업체 펙실드(PeckShield)는 이 축적 자금이 토네이도캐시(Tornado Cash)에서 인출된 7,400ETH를 통해 조달됐다고 분석했다.

공격의 핵심은 vTHE 콘트랙트에 THE 토큰 3,600만개 이상을 직접 ‘기부’ 형태로 넣어, 통상 작동해야 할 한도(cap) 점검을 우회한 데 있었다. 이 과정에서 해당 마켓의 환율이 약 3.8배 치솟았고, 공격자는 부풀려진 ‘장부상 가치’를 활용해 THE를 담보로 다른 자산을 빌린 뒤 유동성이 얕은 시장에서 THE를 추가 매수하는 방식으로 가격을 끌어올렸다.

실제로 THE 가격은 약 0.26달러(약 390원)에서 0.56달러(약 839원) 근처까지 뛰었다. 비너스는 이번 사건이 플래시론 공격은 아니었고, 가격 오라클은 정상 작동했으며 비너스 플럭스(Venus Flux)도 영향을 받지 않았다고 밝혔다. 현재 문제를 일으킨 코드 상의 ‘틈’은 차단하는 작업을 진행 중이라고 덧붙였다.

이후 공격자가 THE를 매도하자 가격은 하루도 안 돼 17% 넘게 급락했고, 연쇄 청산이 발생했다. 청산이 본격화되기 전에 빠져나간 규모는 약 370만~580만달러(약 55억~87억 원)로 추정된다. 이 과정에서 토큰화된 비트코인, BNB, 스테이블코인 등이 유출된 것으로 분석됐다.

비너스는 피해가 주로 THE 토큰에 집중됐고, 팬케익스왑(CAKE)은 일부 영향이 제한적으로 나타났다고 설명했다. 또 “영향을 받은 풀 외에 사용자 자금 손실은 없었다”고 강조했다.

프로토콜은 사고 대응으로 THE의 대출과 인출을 중단하고, THE 담보가치를 0으로 낮췄다. 동시에 비트코인캐시(BCH), 라이트코인(LTC), 에이브(AAVE) 등 ‘위험 가능성이 있다’고 판단한 다른 마켓에 대해서도 규칙을 강화했다고 밝혔다.

이번 공격 주소는 사고 이전부터 커뮤니티에서 위험 신호로 지목됐던 것으로 전해진다. 다만 비너스는 당시 “규칙이 깨진 것이 없었고 익스플로잇도 발생하지 않았다”는 판단 아래 별도 조치를 취하지 않았다고 설명했다. 비너스는 소셜미디어를 통해 “비너스는 탈중앙화 프로토콜이며, ‘퍼미션리스’ 특성상 의심만으로 주소를 동결하거나 블랙리스트에 올릴 수 없고, 그래서는 안 된다”며 “이는 디파이에 내재된 긴장 관계로, 우리는 이를 무겁게 받아들이고 있다”고 밝혔다.

향후 손실 부담 방식은 거버넌스를 통해 결정될 전망이다. 시장에서는 비너스의 리스크 펀드가 어느 수준까지 부실채권을 흡수할지, 또 이번 사건이 BNB체인 기반 디파이 전반의 위험관리 강화로 이어질지에 관심이 쏠린다.

디파이 ‘퍼미션리스’의 딜레마, 시장 신뢰가 관건

이번 사태는 ‘누구나 접근 가능한’ 디파이 구조가 보안과 리스크 통제 측면에서 어떤 한계를 드러내는지 다시 확인시켰다. 비너스(XVS)는 부실채권 처리 방안과 재발 방지책을 얼마나 투명하게 제시하느냐에 따라 단기 변동성뿐 아니라 중장기 신뢰 회복의 속도가 갈릴 것으로 보인다.

기사요약 by TokenPost.ai

🔎 시장 해석

- 비너스(XVS)는 테나(Thena) 마켓 익스플로잇으로 ‘부실채권’(약 215만달러)이 발생하며 하루 새 9% 이상 급락

- 같은 기간 시장 전체도 약세(CD20 -4.6%)였지만, XVS는 개별 악재(익스플로잇 + 대형 보유자 거래소 이동 정황)로 낙폭이 확대

- 사건 핵심 피해는 THE 토큰 및 일부 연관 풀에 집중됐으며, 비너스는 “영향 풀 외 사용자 자금 손실은 없다”고 강조

💡 전략 포인트

- 디파이 대출 프로토콜 투자/이용 시 ‘TVL’보다 “담보 자산의 유동성(얕은 시장 여부)·상장 마켓 구조·한도(cap) 우회 가능성”을 우선 점검

- 담보 토큰 가격이 오라클상 정상이라도, 유동성이 얕으면 ‘장부가치’가 부풀려져 대출 한도 악용이 가능(가격 조작의 현실적 경로)

- 사고 후 거버넌스에서 손실(부실채권) 처리 방식이 결정되므로, XVS 보유자는 리스크 펀드 흡수 범위·추가 패치·리스크 파라미터 강화 수준을 체크

- ‘퍼미션리스’ 환경에서는 의심 주소 선제 차단이 어렵기 때문에, 사전 경고 신호(이상 포지션 축적, 믹서 자금 유입, 특정 마켓 집중 레버리지)를 모니터링하는 리스크 관리 체계가 중요

📘 용어정리

- 익스플로잇(Exploit): 취약점/설계 허점을 이용해 부당 이익을 얻는 공격 행위

- 부실채권(Bad debt): 청산/상환이 이뤄지지 않아 프로토콜 금고에 손실로 남는 대출 잔액

- 퍼미션리스(Permissionless): 누구나 제한 없이 참여 가능한 구조(주소 동결·블랙리스트가 원칙적으로 어려움)

- 오라클(Oracle): 온체인에서 자산 가격 등 외부 데이터를 참조하기 위한 시스템

- TVL(Total Value Locked): 프로토콜에 예치된 자산 총액(규모 지표이지만 안전성을 보장하진 않음)

💡 자주 묻는 질문 (FAQ)

Q.

비너스(XVS) 가격이 시장보다 더 크게 하락한 이유는 무엇인가요?

전체 시장도 약세였지만(CD20 하락), 비너스는 테나(Thena) 마켓에서 발생한 익스플로잇으로 부실채권(약 215만달러)이 생겼다는 ‘프로토콜 고유 악재’가 겹쳤습니다.

여기에 주요 보유자들이 거래소로 물량을 옮긴 정황이 알려지며 추가 매도 압력이 커져 XVS 낙폭이 더 확대됐습니다.

Q.

공격자는 어떤 방식으로 THE 토큰을 이용해 이익을 냈나요?

공격자는 장기간(약 9개월) THE를 축적한 뒤, vTHE 콘트랙트에 ‘기부’ 형태로 대량 투입해 통상적인 한도(cap) 점검을 우회했습니다.

그 결과 마켓 환율이 급등(약 3.8배)했고, 부풀려진 장부상 가치를 담보로 다른 자산을 빌린 뒤 유동성이 얕은 시장에서 THE를 추가 매수해 가격을 끌어올리는 방식으로 구조를 완성했습니다.

이후 THE를 매도하면서 가격 급락과 청산이 연쇄적으로 발생했습니다.

Q.

일반 이용자 입장에서 무엇을 확인해야 안전한가요?

첫째, 담보로 쓰이는 토큰의 ‘유동성(거래 깊이)’이 충분한지 확인해야 합니다(얕은 시장은 가격이 쉽게 흔들립니다).

둘째, 사고 발생 시 해당 자산의 대출/인출 중단, 담보가치 조정(예: THE 담보가치 0) 같은 리스크 파라미터 변경이 즉시 이뤄졌는지 점검하세요.

셋째, 부실채권을 리스크 펀드가 어느 범위까지 흡수하는지와 거버넌스 결정을 확인하는 것이 중요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.