2025년 11월 30일 UTC 약 21:11에 공격자는 Yearn Finance의 레거시 yETH 토큰 계약의 민팅 취약점을 악용했습니다. 한 번의 트랜잭션으로 약 235조 개의 yETH 토큰을 생성함으로써 공격자는 주된 스테이블스왑 풀에서 약 800만 달러를 Curve의 yETH-WETH 풀에서 약 90만 달러를 빼내 총 약 900만 달러의 손실을 야기했습니다. 이 자금은 약 1,000 ETH에 해당하는 자금을 Tornado Cash 믹서를 통해 흐름을 숨기기 위해 라우팅되었습니다.
Yearn Finance는 이 사고를 신속히 확인했고 취약점은 구형 yETH용 커스텀 스테이블-스왑 구현에만 영향을 미쳤으며 V2 또는 V3 Vault 인프라를 손상시키지 않아 총 가치 잠금(TVL)이 6억 달러를 넘는다고 밝혔다. 이번 사건은 Yearn의 프로토콜 역사상 최신 보안 침해로, 2021년의 이전 공격과 2023년의 다중 서명 관련 이슈에 이은 것이며, 레거시 코드의 보호에 대한 지속적인 도전을 강조했다.
블록체인 분석에 따르면 보안 업체 SEAL 911 및 ChainSecurity는 실행 후에 자체 소멸하는 일시적 보조 계약의 배치를 나타내었고, 이는 포렌식 수사를 어렵게 만들었다. 공격자는 이 계약들을 활용해 yETH 공급을 부풀리고 표준 민팅 한도 방어 장치를 트리거하지 않으면서 실자산을 추출했다. 온체인 경고가 이상 현상을 즉시 알렸고 Yearn의 거버넌스 커뮤니티는 곧 구제 옵션에 대한 논의를 시작했다.
공격 이후 프로토콜의 본래 YFI 토큰은 약 5.5%의 급락을 기록했고, 이는 투자자 신뢰 하락과 프로토콜 수익 전망의 일시적 감소를 반영했습니다. 거래량은 차익 거래 봇과 반응형 트레이더들이 가격 불일치를 이용해 급증했고, Yearn 관련 시장의 변동성을 더욱 가속화했습니다.
이에 Yearn Finance는 다각적인 시정 계획을 시작했습니다. 영향을 받은 이해관계자에게 지급하기 위한 320만 달러 USDC Merkle 에어드랍을 승인하는 거버넌스 제안, 민팅 한도를 강제하기 위한 v1.1 패치의 구현, 그리고 모든 스테이블-스왑 풀에 실시간 모니터링 도구를 배치하는 것을 포함합니다. 또한 관련 발견에 대해 50만 달러의 버그 바운티를 제안해 코드 보안을 강화하고 사용자 신뢰를 회복하는 것을 목표로 했습니다.
공격은 레거시 DeFi 계약을 유지하는 위험과 진화하는 프로토콜 표준 사이에서의 리스크를 상기시켰습니다. 프로토콜 설계자들은 레거시 구성 요소를 감사받은 커뮤니티 검증 대안으로 대체하고 레거시를 더 이상 유지하지 않는 방향으로의 폐기 계획을 강조했고, 핵심 Vault의 회복력도 강조했습니다. 무한 민팅 취약점은 탈중앙화 금융에서 여전히 중요한 공격 벡터로 남아 있어 표준화된 보안 프레임워크와 지속적인 제3자 검토의 필요성을 촉구했습니다.
침해에도 불구하고 Yearn의 V2 및 V3 Vault의 유동성은 유지되었고, 사용자 예치나 운영에 차질이 보고되지 않았습니다. 시장 참가자들은 거버넌스 논의와 감사 결과를 면밀히 모니터링하며 프로토콜 토큰노믹스와 더 넓은 DeFi 생태계에 대한 잠재적 장기 영향들을 평가했습니다. 이 사건은 분산형 금융 인프라를 보호하는 데 있어 경계하는 보안 관행과 신속한 사건 대응의 중요성을 다시 한번 강조했습니다.
댓글 (0)