헤데라(HBAR) 기반 대출 프로토콜 ‘본조 런드(Bonzo Lend)’가 담보로 쓰인 SAUCE 토큰의 가격이 조작되면서 약 900만달러 규모의 피해를 입었다. 온체인 오라클(외부 가격 정보를 블록체인에 전달하는 장치) 오류가 사실상 저가 담보를 대규모 자금 인출 수단으로 바꿔놓은 셈이다.
13일 코인텔레그래프에 따르면 본조는 토요일 발표한 예비 사고 보고서에서 공격자가 250개의 SAUCE를 예치한 뒤, 가격 업데이트를 악용해 해당 토큰의 가치를 약 12자릿수 수준으로 부풀렸다고 밝혔다. 이후 공격자 지갑은 대출풀에서 663만달러 규모의 미국 달러 스테이블코인(USDC)과 3450만 개의 랩드 헤데라(wrapped HBAR)를 빌려 갔다.
이번 사건은 디파이(DeFi, 탈중앙화 금융)에서 오라클 이상이 얼마나 큰 손실로 이어질 수 있는지를 다시 보여준다. 프로토콜과 네트워크 자체가 정상 동작하더라도, 가격 입력이 왜곡되면 사실상 ‘무가치한 담보’가 대규모 유동성 유출의 통로가 될 수 있기 때문이다.
본조는 이번 사고 원인을 수프라(Supra)의 온체인 오라클 검증 로직 결함으로 지목했다. 조작된 SAUCE 가격 데이터에 ‘비어 있는 서명’이 포함됐고, 검증 과정이 이를 받아들이면서 잘못된 가격이 반영됐다는 설명이다. 본조는 수프라가 해당 문제를 인정하고 수정 조치를 배포했다고 전했다. 또 이번 사고가 본조 런드의 스마트컨트랙트나 헤데라 핵심 네트워크의 취약점은 아니라고 강조했다.
이번 사건은 2026년 들어 계속 커지는 디파이 해킹 흐름과도 맞물린다. 올해 2분기는 사건 수 기준 역대 가장 많이 해킹당한 분기로 기록됐고, 총 83건의 공격으로 약 7억5500만달러가 탈취됐다. 이 가운데 크로스체인 브리지 공격만 3억5100만달러를 차지했고, 관리자 계정 탈취와 가짜 토큰 가격 조작이 분기 손실의 37%를 차지했다.
시장 여건도 녹록지 않다. 2026년 디파이 총예치자산(TVL)은 1월 약 1150억달러에서 6월 700억달러 이상으로 39% 줄었다. 크립토랭크는 같은 기간 121건의 해킹으로 약 9억4200만달러의 손실이 발생했다며, 반복되는 보안 사고가 이용자 신뢰를 약화시키고 자금 이탈을 부추겼을 가능성이 크다고 분석했다.
헤데라 생태계에서 벌어진 이번 사건은 지난 2월 스텔라(Stellar) 기반 대출 풀에서 발생한 담보 가격 조작 사례와도 닮아 있다. 당시 공격자들은 USTRY 담보를 평가하는 가격 경로를 조작해 약 1000만달러를 빼냈다. 결국 디파이의 핵심 위험은 코드 자체보다도, 외부 가격 데이터를 어떻게 안전하게 검증하느냐에 달려 있다는 점이 다시 확인됐다.
오라클과 담보 평가 실패가 반복되면서, 디파이 전반에 대한 경계심은 당분간 쉽게 줄지 않을 전망이다. 특히 자산 유동성이 얇은 토큰일수록 가격 조작 위험이 커지는 만큼, 보안과 검증 체계가 시장 신뢰를 좌우하는 핵심 변수로 남게 됐다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사