대형 디파이(DeFi) 플랫폼 밸런서(Balancer)가 스마트 계약 취약점을 악용한 공격으로 약 1억 2,864만 달러(약 1,286억 원)의 피해를 입은 것으로 드러났다. 여기에 밸런서 기술을 기반으로 한 다양한 포크 프로젝트들까지 공격을 받으며, 피해 규모는 더욱 확대될 가능성이 제기되고 있다.

블록체인 보안업체 팩쉴드(PeckShield)는 밸런서 및 그 파생 프로젝트들이 광범위한 공격을 받았으며, 현재까지 누적 피해는 약 1억 2,864만 달러에 달한다고 밝혔다. 컴파운드 스타일의 자동 시장조성자(AMM)로 유명한 밸런서의 경우, 현재 공식적으로 영향받은 풀은 v2 버전이며, 최신 v3 풀은 영향을 받지 않았다고 전했다.

트레이딩스트래티지(Trading Strategy)의 최고경영자 미코 오타마(Mikko Ohtamaa)는 이번 사고의 주요 원인이 ‘스마트 계약 검증 과정의 결함’이라고 분석했다. 밸런서뿐 아니라 최소 27개의 유사 AMM이 존재하며, 공격자는 여전히 새로운 스마트 계약을 배포하고 커스텀 ERC-20 토큰을 발행하고 있어 공격이 진행 중이라는 점도 우려된다.

알케미(Alchemy)의 엔지니어 우탐 싱(Uttam Singh)은 각 체인별 피해 상황을 분석하며 공격이 복수 체인에 걸쳐 진행되고 있음을 시사했다. 또 분석 플랫폼 룩온체인(Lookonchain)은 밸런서에서 대량의 자산을 보유 중이던 고래 지갑 ‘0x0090’이 이번 공격 직후 3년 침묵을 깨고 약 650만 달러(약 65억 원)를 긴급 출금했다고 전했다.

공식적으로 밸런서는 현재 v2 풀들의 잠재적인 취약점에 대해 인지하고 있으며, 보안 및 기술팀이 원인 파악과 대책 마련에 나섰다고 밝혔다. 확인된 사항들은 추후 공지를 통해 안내할 예정이라고 덧붙였다.

밸런서는 과거에도 보안 이슈를 겪은 바 있다. 2023년 9월에는 프론트엔드 웹사이트가 도메인 등록 업체 유로DNS(EuroDNS)의 사회공학적 해킹을 통해 DNS 공격을 당한 바 있다. 당시 온체인 탐정 잭XBT(ZachXBT)는 약 24만 달러(약 2억 4,000만 원)의 자산이 유출됐다고 추산했다.

이번 공격은 단순한 단일 플랫폼 해킹을 넘어, 밸런서 생태계를 기반으로 구축된 다양한 포크 프로젝트들에 연쇄 피해를 일으킬 수 있다는 점에서 더 큰 우려를 사고 있다. 공격자가 여전히 활발히 활동 중이라는 점에서 추가 피해가 이어질 가능성도 있다.

디파이 보안과 스마트 계약 검증 체계의 취약성이 다시 한 번 수면 위로 떠오른 가운데, 이번 사태가 디파이 생태계 전체에 어떤 영향을 미칠지 지켜볼 필요가 있다.