멤버십
뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
3
DeFi 대출 프로토콜 컴파운드 파이낸스(Compound Finance) 이용자들이 9일(현지시간) 웹사이트에서 ‘수상한 기능’을 발견했다고 보고했다. 최근 메이플 파이낸스(Maple Finance)와 오픈에덴(OpenEden), 커밴스(Curvance) 등에서 잇따른 웹사이트 하이재킹이 이어지는 가운데, DeFi 업계의 ‘피싱’ 리스크가 다시 부각되는 모습이다.
이번 사건은 컴파운드의 ‘프론트엔드(사용자 화면)’가 공격자에 의해 침해된 두 번째 사례로 알려졌다. 2년이 채 되지 않는 기간에 동일한 유형의 사고가 반복되면서, 온체인(블록체인) 보안 못지않게 웹 인프라와 도메인 관리가 취약점이 될 수 있다는 경고가 커지고 있다.
가짜 도메인 ‘compOOnd’로 유도…“자금 피해는 확인 안 돼”
컴파운드 측 보안 제공업체는 이후 프로젝트 거버넌스 포럼을 통해 업데이트를 게시하고, 문제를 해결했으며 영향을 받은 인프라 계정의 “다른 모든 자격 증명을 교체(rotate)했다”고 밝혔다.
포럼 게시글에 따르면 공격자는 사용자를 ‘유사 도메인’에 호스팅된 피싱 사이트로 리다이렉트했다. 이 도메인은 정식 사이트와 철자가 거의 같은 ‘compOOnd(알파벳 O를 겹쳐 쓴 형태)’로, 이용자가 주소창을 세심하게 확인하지 않으면 정상 페이지로 오인하기 쉬운 전형적인 수법이다. 다만 컴파운드 측은 “이용자 자금 손실은 확인되지 않았다”고 덧붙였다.
불과 2024년 7월에도 프론트엔드 해킹…반복되는 ‘운영 리스크’
컴파운드는 앞서 2024년 7월에도 프론트엔드가 해킹된 바 있다. 당시에는 스퀘어스페이스(Squarespace) 기반으로 운영되는 다수 DeFi 도메인이 함께 영향을 받은 것으로 전해졌다. 이번 사고까지 더해지면서, 웹사이트·도메인·DNS 등 전통적인 웹 스택이 DeFi에서 ‘가장 현실적인 공격면(attack surface)’으로 남아 있다는 지적이 나온다.
시장에서는 생성형 AI 도구 확산으로 피싱 페이지 제작과 문구 구성, 사용자 기만이 훨씬 쉬워졌다는 점도 우려 요인으로 꼽힌다. 실제로 최근에는 보안 솔루션을 우회하는 형태의 자동화 공격이 빠르게 진화하며, 단순한 링크 클릭만으로도 지갑 연결 유도, 권한 승인(approval) 착취로 이어질 수 있다는 경계심이 커지고 있다.
IPFS로 제공되는 ‘앱’ 서브도메인이 방어선 역할
다만 이번에는 피해 확산 가능성이 상대적으로 제한됐다는 평가도 있다. 포럼 게시글은 이용자가 지갑을 연결하고 실제 트랜잭션을 발생시키는 app.compound.finance 서브도메인이 ‘IPFS(분산 파일 시스템)’를 통해 제공된다고 설명했다. IPFS 기반 제공 방식은 콘텐츠 무결성을 독립적으로 검증할 수 있어, 공격자가 중앙 서버 설정만 바꿔 사용자 화면을 바꾸는 방식의 조작을 어렵게 만든다.
즉, 메인 웹사이트가 피싱 도메인으로 유도되는 사고가 발생했더라도, 핵심 상호작용이 이뤄지는 애플리케이션 영역에서 방어 장치가 작동해 추가 피해를 막는 데 도움이 됐다는 의미다.
한때 DeFi ‘톱 프로토콜’…DAO 이해상충 논란·운영 실수도
이번 사건은 한때 DeFi 대표 프로토콜로 꼽히던 컴파운드에겐 또 하나의 악재로 비친다. 지난해에는 컴파운드 DAO가 서비스 제공업체 건틀렛(Gauntlet)과 관련한 이해상충 우려로 도마에 오른 바 있다.
운영 실수 사례도 여럿 거론된다. 2022년에는 운영 오류로 cETH 시장이 약 일주일간 사실상 마비됐는데, 당시 규모는 8억달러를 넘는 수준으로 추산됐다. 원·달러 환율(1달러=1,467원)을 적용하면 약 1조1,736억원에 해당한다. 2021년에는 과도한 보상이 약 1억5,000만달러 규모로 잘못 지급되는 실수도 있었다. 같은 환율 기준 약 2,200억원 수준이다.
최근 잇따르는 웹사이트 하이재킹과 프론트엔드 침해는 DeFi의 신뢰를 담보하는 요소가 스마트컨트랙트 코드뿐 아니라, 사용자가 접속하는 ‘웹 관문’까지 확장돼야 한다는 점을 다시 상기시킨다. 업계에서는 유사 도메인 탐지, 서브도메인 분리, IPFS 등 무결성 검증 구조, 자격 증명 관리 강화 같은 기본 수칙이 DeFi 프로토콜 운영의 필수 요건으로 자리 잡을지 주목하고 있다.
🔎 시장 해석
- 컴파운드(Compound)에서 ‘유사 도메인 리다이렉트’ 형태의 프론트엔드 침해가 재발하며, DeFi 리스크가 스마트컨트랙트뿐 아니라 웹사이트·도메인·DNS 등 웹 인프라로 확장되고 있음
- 메이플 파이낸스, 오픈에덴, 커밴스 등 연쇄 웹 하이재킹 사례가 겹치며 업계 전반의 피싱 공격면(attack surface)이 커지는 추세
- 생성형 AI 확산으로 피싱 페이지 제작/문구 설계가 쉬워져, 지갑 연결 유도 → 승인(approval) 탈취로 이어지는 공격이 더욱 정교해질 가능성
💡 전략 포인트
- 접속 전 주소창 철자(예: compOOnd처럼 O를 겹쳐 쓰는 유사 도메인) 확인, 즐겨찾기/공식 채널 링크만 사용
- 지갑 연결 후 ‘승인(approval)’ 요청이 뜨면 즉시 중단하고, 승인 대상 토큰/한도(무제한 여부)/컨트랙트 주소를 재확인
- 핵심 앱(app.compound.finance)처럼 IPFS 기반 제공·서브도메인 분리 등 무결성 검증 구조가 피해 확산을 줄일 수 있어, 향후 DeFi 운영 표준으로 부상 가능
- 프로젝트 운영 측면에서는 자격 증명(credential) 주기적 교체(rotate), 도메인·DNS 계정 보안(2FA/권한 최소화), 유사 도메인 탐지 체계가 필수 체크리스트로 강화될 전망
📘 용어정리
- 프론트엔드(Front-end): 사용자가 웹에서 보는 화면/인터페이스. 스마트컨트랙트와 별개로 해킹·변조될 수 있음
- 피싱(Phishing): 가짜 사이트/문구로 사용자를 속여 지갑 연결, 서명, 승인 등을 유도하는 공격
- 유사 도메인(Typosquatting): 철자가 비슷한 도메인을 만들어 정상 사이트로 착각하게 하는 수법(예: compOOnd)
- 승인(Approval): ERC-20 토큰을 특정 컨트랙트가 가져갈 수 있도록 허용하는 권한. 악용 시 토큰 탈취로 이어질 수 있음
- IPFS: 분산 파일 시스템. 콘텐츠 무결성 검증에 유리해 중앙 서버 변조 기반 공격을 완화하는 데 도움
💡 자주 묻는 질문 (FAQ)
Q.
컴파운드 파이낸스에서 무슨 일이 있었나요?
이용자들이 컴파운드 웹사이트에서 ‘수상한 기능’을 발견했고, 조사 결과 일부 사용자가 철자가 비슷한 유사 도메인(예: compOOnd)으로 리다이렉트되는 피싱 시도가 있었습니다. 컴파운드 측은 문제를 해결하고 영향 계정의 자격 증명을 교체(rotate)했으며, 현재까지 이용자 자금 손실은 확인되지 않았다고 밝혔습니다.
Q.
이런 피싱을 당하지 않으려면 무엇을 가장 먼저 확인해야 하나요?
첫째, 주소창의 도메인 철자를 한 글자까지 확인하고(유사 도메인 주의), 즐겨찾기나 공식 채널에서 제공한 링크로만 접속하는 것이 기본입니다.
둘째, 지갑 연결 과정에서 ‘승인(approval)’ 요청이 나오면 무제한 승인 여부, 컨트랙트 주소, 토큰/권한 범위를 반드시 확인해야 합니다.
셋째, 조금이라도 이상하면 즉시 탭을 닫고 공식 공지/포럼 업데이트로 상태를 재확인하는 것이 안전합니다.
Q.
이번에는 왜 피해가 제한적이었다고 하나요?
실제로 지갑을 연결하고 트랜잭션이 발생하는 핵심 앱(app.compound.finance)이 IPFS 기반으로 제공되어, 중앙 서버 설정 변경만으로 화면/콘텐츠를 바꾸는 공격이 상대적으로 어려웠기 때문입니다. 즉 메인 웹 관문에서 문제가 생겨도, 핵심 상호작용 영역은 무결성 검증 구조가 방어선 역할을 할 수 있다는 점이 강조됐습니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 548회차](https://f1.tokenpost.kr/2026/03/oc70fm7rkc.png)
![[토큰포스트] 기사 퀴즈 547회차](https://f1.tokenpost.kr/2026/03/4i8acp5kqv.png)
![[토큰포스트] 기사 퀴즈 546회차](https://f1.tokenpost.kr/2026/03/p1jfeb06y7.jpg)
![[토큰포스트] 기사 퀴즈 545회차](https://f1.tokenpost.kr/2026/03/yzt2egy26e.jpg)
