Yearn Finance의 yETH 풀이 LST 취약점으로 300만 달러 규모의 익스플로잇을 당했습니다. DeFi 프로토콜 보안 문제와 Yearn의 신속한 대응을 다룹니다. V2/V3 금고는 안전합니다.
최근 인기 DeFi 프로토콜인 Yearn Finance의 yETH 풀에서 약 300만 달러 규모의 이더리움(ETH)이 익스플로잇으로 탈취되었습니다. 이는 프로토콜의 유동성 스테이킹 인덱스 토큰인 yETH의 스마트 컨트랙트 내 취약점을 악용하여 공격자가 무한대에 가까운 토큰을 발행, 풀의 자금을 모두 빼돌린 사건입니다. 블록체인 분석에 따르면, 여러 유동성 스테이킹 토큰을 결합해 거래 가능한 인덱스 토큰으로 만드는 과정에서 발생한 버그가 원인으로 지목됩니다. 이 해킹은 X(구 트위터) 사용자 Togbe가 대규모 전송을 모니터링하던 중 처음 감지하여 보고했습니다.
Yearn Finance는 X(구 트위터)를 통해 이번 익스플로잇이 yETH 풀에만 국한되었으며, V2 및 V3를 포함한 다른 볼트들은 안전하다고 즉시 확인했습니다. 현재 손실 규모에 대한 정확한 평가는 진행 중이지만, 약 300만 달러의 직접적인 탈취 외에 사용자들의 스테이킹 포지션을 뒷받침하는 유동성 풀에도 영향이 있었을 가능성이 제기됩니다. Yearn 팀은 즉각적으로 LST 스테이블스왑 풀을 제외한 다른 코드에는 침투가 없었음을 강조하며, 고객들에게 주요 볼트의 100% 보안을 확신시켰습니다.
현재 Yearn 팀은 익스플로잇의 정확한 실행 방식과 추가적인 자산 피해 여부를 파악하기 위한 철저한 내부 조사를 진행하고 있습니다. 코드 감사, 온체인 거래 모니터링, 그리고 보안 전문가들과의 협력을 통해 더 이상의 취약점이 발견되지 않도록 노력하고 있습니다. 이번 사건은 복잡한 DeFi 상품 내 단일 버그가 막대한 손실로 이어질 수 있음을 다시 한번 보여주는 사례로, 탈중앙 금융 프로토콜의 견고한 보안 점검의 중요성을 부각시키며, 전체 DeFi 생태계에 경종을 울리고 있습니다.
📚 용어 설명
- **DeFi (탈중앙화 금융):** 중개인 없이 블록체인 기반으로 금융 서비스를 제공하는 시스템.
- **익스플로잇 (Exploit):** 소프트웨어의 취약점을 이용해 시스템에 침투하거나 오작동을 유발하는 행위.
- **스마트 컨트랙트 (Smart Contract):** 블록체인에 저장되어 조건 충족 시 자동으로 실행되는 계약 코드.
- **유동성 스테이킹 토큰 (LST):** 스테이킹한 자산을 대표하며 유동성을 유지하는 파생 토큰.
- **볼트 (Vault):** DeFi 프로토콜에서 사용자의 자산을 관리하고 수익을 창출하는 스마트 컨트랙트 금고.
키워드: Yearn Finance, yETH, 익스플로잇, 유동성 스테이킹 토큰, DeFi 보안
