Yearn 파이낸스, yETH 스마트컨트랙트 해킹으로 900만 달러 피해

Yearn 파이낸스가 최근 대규모 해킹 공격을 받아 약 900만 달러(대략 132억 2,910만 원)의 피해를 입었다. 해커는 yETH와 관련된 스마트컨트랙트의 취약점을 악용하여 무한으로 yETH를 생성한 뒤, 이를 사용해 커스텀 스테이킹 풀에서 유동성을 탈취했다. 이번 해킹은 Yearn 파이낸스의 yETH 토큰이 연결된 레거시 스테이블스왑 풀을 표적으로 삼았다.

블록체인 보안 전문업체인 펙쉴드(PeckShield)가 최초로 이 문제를 발견했으며, 공격자는 담보 없이 신규 yETH를 발행할 수 있는 스마트컨트랙트 구조를 이용했다. 이를 통해 stETH, rETH 등 이더리움 스테이킹 파생상품이 집결되어 있는 커스텀 풀에서 유동성을 대량으로 흡수할 수 있었다.

또한, 이번 해킹에서는 토네이도 캐시(Tornado Cash)가 자금 세탁 경로로 사용되었으며, 현재까지 약 300만 달러(약 44억 970만 원)의 이더리움(ETH)이 해당 경로를 통해 익명화되었다. 나머지 약 600만 달러(약 88억 1,940만 원) 상당의 토큰은 해커의 지갑 주소(0xa80d…c822)에 여전히 남아 있는 상태다.

Yearn 파이낸스는 자체 조사 결과, Curve의 yETH-WETH 풀에서 90만 달러(약 13억 2,290만 원)와 익스플로잇 풀에서 800만 달러(약 117억 5,920만 원)가 유출된 것으로 공식 발표했다. 일부 사용자들은 디스코드에서 서포트 티켓을 접수할 수 있도록 안내받았다.

사고 발생 직후 Yearn 파이낸스는 SEAL911 및 보안 감사 파트너인 체인시큐리티(Chain Security)와 함께 비상 대응팀을 구성하고 포렌식 분석에 착수했다. 초기 분석 결과, 이번 공격은 최근 발생한 밸런서(Balancer) 프로토콜 공격과 유사한 기술적 복잡성을 지닌 것으로 밝혀졌다. 해당 공격은 정밀도 손실에 따른 계산 오류를 겨냥하여 스마트컨트랙트에 존재하는 아키텍처의 허점을 이용해 1억 2,000만 달러(약 1,763억 8,800만 원)의 피해를 유발한 바 있다.

현재 업계에서는 지갑 추적 및 기술 분석 외에도, 동일한 구조적 취약점을 갖고 있는 프로젝트에 대한 점검이 중요하다는 우려가 제기되고 있다. 특히 DeFi 생태계 내 다양한 커스텀 파생상품 풀들이 미래에 더 정교한 공격의 목표가 될 수 있다는 경고 또한 필요하다.

이번 사건은 불과 며칠 전 업비트에서 발생한 5,000만 달러(약 735억 원) 규모의 이더리움 피싱 해킹 사건과 함께, 글로벌 주요 플랫폼들이 여전히 보안 취약점으로부터 자유롭지 않다는 사실을 다시 한번 입증하고 있다. 탈중앙화 금융 인프라의 높은 유연성과 혁신 뒤에는 여전히 심각한 보안 취약성이 존재하는 모습이다.

이번 Yearn 파이낸스의 해킹 사건은 DeFi 시스템의 커스텀 풀 구조의 위험성을 또다시 강조하고 있다. 스마트컨트랙트 설계에서 발생한 미세한 논리적 허점이 큰 재정적 피해로 이어질 수 있다는 점은 앞으로도 주의해야 할 사항이다.

다양한 풀과 디리버티브 구성에서 발생하는 프로토콜 리스크는 앞으로의 핵심 이슈로 남아 있을 것이다. 거래자들은 yETH와 같은 주변 자산에 대해 리스크 프리미엄 재평가가 필요할 수도 있다.