링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

암호화폐 블록체인 테크

스테이크 DAO, 키 유출 추정 해킹…vsdCRV 5조4000억 개 임의 발행

김하린 기자

2026.05.28 (목) 03:36

스테이크 DAO가 키 유출로 추정되는 해킹을 당해 아비트럼에서 vsdCRV 5조4000억 개가 임의 발행됐고, 해커는 일부를 44 ETH로 바꿔 약 9만1000달러를 챙긴 것으로 알려졌다.

이번 사건은 디파이 보안이 스마트계약 결함뿐 아니라 권한 계정·키 관리 실패에도 크게 좌우된다는 점을 다시 드러냈다.

스테이크 DAO, 키 유출 추정 해킹…vsdCRV 5조4000억 개 임의 발행 / TokenPost.ai

장기 운영된 디파이(DeFi) 플랫폼 ‘스테이크 DAO(Stake DAO)’가 다시 해킹 피해를 입었다. 이번 공격은 비밀키 유출로 추정되며, 해커는 아비트럼(ARB) 네트워크에서 프로젝트의 ‘vsdCRV’ 토큰 5조4000억 개를 임의 발행한 뒤 일부를 이더리움(ETH)으로 바꿔 약 9만1000달러를 챙긴 것으로 알려졌다.

블록체인 모니터링 업체 블록에이드(Blockaid)는 공격자가 탈취한 배포자 권한을 이용해 토큰의 LayerZero OFT 계약을 재설정하고, ‘공격자가 배포한 악성 계약’에 민팅 권한을 부여했다고 설명했다. 스테이크 DAO가 발행한 ‘vsdCRV’는 커브 파이낸스(Curve Finance)의 CRV를 래핑한 수익형 토큰이다.

해커는 발행한 토큰 일부를 44 ETH로 교환한 뒤, 온체인 유동성이 사실상 소진되자 수익금을 이더리움 메인넷으로 옮겼다. 프로젝트 측은 X를 통해 “현재 상황을 인지하고 있다”고 밝히며 이용자들에게 ‘csdCRV’와의 상호작용을 중단하라고 요청했다. 커브 파이낸스도 asdCRV가 포함된 LlamaLend 포지션은 청산 위험을 피하기 위해 정리하라고 안내했다.

2021년 출범한 스테이크 DAO는 5년 넘게 운영을 이어왔지만, 보안 사고에서 완전히 자유롭지는 않았다. 지난 3월에도 Votemarket 보상 프로그램이 ‘주변 오라클 업데이트 메커니즘’ 취약점 공격을 받아 아비트럼과 베이스(Base)에서 약 17만5000달러가 탈취됐고, 이 중 대부분은 이후 반환됐다.

이번 사건은 디파이 보안을 둘러싼 불안이 커지는 흐름과도 맞물린다. 오픈제플린(OpenZeppelin) 공동창업자 마누엘 아라오스는 해킹 직전 X에 디파이 전반이 ‘안전하지 않다’고 썼다. 그는 AI 기반 코딩 에이전트가 아베(AAVE), 메이커다오(MakerDAO), 컴파운드(Compound) 같은 ‘저위험 블루칩’까지 위험에 노출시킬 수 있다고 주장했다.

[경제분석] 인플레이션의 귀환… 연준의 공포가 시장의 동력이 될 때

알파리포트 전문 보기 →

반면 전 아베 대표 대리인 마크 젤러는 이를 ‘터무니없는 주장’이라고 반박했다. 그는 디파이 손실의 상당수가 스마트계약 자체의 결함보다 ‘잘못된 파라미터 설정, 담보 붕괴, 허술한 보안관리’에서 비롯된다고 봤다. 연도 개발자인 반테그도 “작은 실수 하나로도 치명타가 될 수 있다”며 최근 해킹의 상당수가 ‘권한 계정·키 탈취 또는 설정 오류’에 집중돼 있다고 지적했다.

이번 스테이크 DAO 해킹은 디파이 생태계에서 사소한 권한 관리 하나가 곧바로 대규모 피해로 이어질 수 있다는 점을 다시 드러냈다. 특히 AI 활용이 확대되는 환경에서 보안 점검과 키 관리 체계의 중요성은 더 커질 것으로 보인다.

기사요약 by TokenPost.ai

🔎 시장 해석
스테이크 DAO 해킹은 단순한 버그가 아닌 ‘키 탈취 및 권한 악용’ 유형으로, 최근 DeFi 리스크가 코드보다 운영·권한 관리로 이동하고 있음을 보여준다.
대량 민팅(5.4조 개)에도 실제 수익이 제한된 것은 유동성과 신뢰 붕괴가 즉각적으로 반영된 결과다.
AI 기반 개발 도구 확산으로 보안 취약점 확산 속도에 대한 우려도 함께 커지는 상황이다.

💡 전략 포인트
특권 계정(관리자 키, 배포자 권한) 보안이 프로젝트 리스크의 핵심 변수로 부상하고 있다.
연결된 파생 토큰 구조(vsdCRV, csdCRV 등)는 하나의 문제로 생태계 전반에 리스크가 전염될 수 있어 주의가 필요하다.
유동성이 얕은 토큰은 공격 시 가격 붕괴가 빠르게 발생하므로 실질 피해 규모보다 ‘신뢰 훼손’이 더 클 수 있다.
디파이 투자 시 코드 감사 여부뿐 아니라 운영 구조와 권한 분산 수준을 함께 점검하는 것이 중요하다.

📘 용어정리
프라이빗 키: 지갑 및 프로토콜 권한을 통제하는 핵심 비밀번호로, 유출 시 자산 및 설정을 모두 탈취당할 수 있음
래핑 토큰(vsdCRV 등): 기존 자산을 예치하고 받는 파생 토큰으로, 이자 및 추가 활용 기능이 포함된 형태
민팅(Minting): 새로운 토큰을 생성하는 행위
유동성: 자산을 시장에서 얼마나 쉽게 사고팔 수 있는지를 나타내는 지표

💡 자주 묻는 질문 (FAQ)

Q. 이번 스테이크 DAO 해킹의 핵심 문제는 무엇인가요?

이번 사건의 본질은 스마트컨트랙트 오류보다는 ‘프라이빗 키 유출 및 관리자 권한 탈취’입니다. 해커는 배포자 권한을 이용해 토큰 발행 구조 자체를 바꿨고, 이를 통해 무제한에 가까운 토큰 민팅이 가능해졌습니다. 즉, 코드가 아니라 운영 권한이 뚫린 사례입니다.

Q. 왜 5.4조 개를 발행했는데 실제 수익은 적었나요?

토큰 수량이 많다고 반드시 큰 수익으로 이어지지는 않습니다. 중요한 것은 시장에서 실제로 팔 수 있는 ‘유동성’입니다. 이번 경우에는 토큰 신뢰도가 즉시 붕괴되며 유동성이 고갈됐고, 해커도 일부만 ETH로 교환해 약 9만 달러 수준의 이익만 실현할 수 있었습니다.

Q. 디파이 투자자는 이번 사건에서 무엇을 주의해야 하나요?

단순히 ‘감사를 받은 코드인지’만 볼 것이 아니라, 관리자 권한 구조, 키 관리 방식, 권한 분산 여부를 함께 확인해야 합니다. 또한 하나의 토큰이 여러 서비스에 연결된 구조에서는 한 지점의 문제가 빠르게 확산될 수 있으므로, 연계된 프로토콜 리스크도 함께 점검하는 것이 중요합니다.

TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

광고문의 기사제보 보도자료

#스테이크DAO #디파이 #해킹 #보안사고 #vsdCRV #아비트럼 #이더리움 #커브파이낸스

텔레그램에서 토큰포스트 속보 보기