1억 2,800만 달러가 도난당하고 27개의 포크된 프로토콜이 교차 사격을 받은 Balancer 사건은 DeFi에 대한 세 가지 주요 교훈을 제공합니다.

저자: Frank, PANews

11월 3일, DeFi 세계의 하늘에 구멍이 뚫렸습니다. 베테랑 DeFi 프로토콜인 Balancer의 금고 주소에서 이례적으로 많은 금액의 자금이 이체되었습니다. 그 후 몇 시간 동안 업계 전체는 실시간으로 벌어지는 재난을 목격했습니다. 손실액은 처음 보고된 7천만 달러에서 1억 1,660만 달러로 급증했고, 결국 1억 2,864만 달러라는 엄청난 규모로 안정되었습니다.

엄청난 손실의 이면에는 Balancer V2 프로토콜에 무려 27개의 "포크"가 있다는 사실이 있는데, 이 포크 역시 이 오래된 치명적인 취약점으로 인해 발생하는 체계적 위험에 직면해 있습니다.

Balancer V2가 해킹당해 1억 2,800만 달러가 도난당했습니다.

11월 3일, 온체인 보안 회사 PyShield는 Balancer V2 볼트에서 비정상적인 이체를 발견했습니다. 대량의 래핑된 이더리움(WETH)과 유동성 스테이킹 파생상품(wstETH, osETH)이 새 지갑으로 이체되었습니다.

Balancer 팀은 온체인 공격을 신속하게 확인했으며, 온체인 모니터링이 계속됨에 따라 최종 추정 피해액은 1억 2,800만 달러에 달했습니다. Balancer 팀은 해당 공격이 V2 구성 가능 안정형 풀에만 국한되었다고 밝혔습니다. 최신 V3 아키텍처와 다른 V2 풀 유형(예: 가중 풀)은 영향을 받지 않았습니다.

11월 4일 기준, Balancer 팀은 아직 공격의 구체적인 원인을 공개하지 않았습니다. 그러나 여러 보안 회사와 온체인 분석가들의 분석에 따르면, 공격의 근본 원인은 "잘못된 접근 제어 검사"에 있습니다.

공격자는 V2 프로토콜의 `manageUserBalance` 함수를 호출하여 악의적으로 조작된 명령을 금고에 전송했습니다. 이 명령은 프로토콜의 내부 원장을 속여 "프로토콜이 방금 거액의 수수료를 징수했다"고 믿게 했고, "이 수수료의 소유권은 공격자에게 있다"고 믿게 했습니다. 그런 다음 공격자는 합법적인 출금 요청을 하여 거액의 자산을 자신의 계좌로 이체했습니다.

기술적인 관점에서 볼 때, 이 공격의 성공은 뛰어난 기술력 때문이 아니라, 공격자가 프로토콜의 논리적 취약점을 교묘하게 악용했기 때문입니다. 일부 분석가들은 해커가 공격 중에 콘솔 로그를 남겼을 것으로 추정하며, 이러한 패턴을 바탕으로 볼 때 해커가 대규모 AI 모델을 사용하여 코드를 작성하고 검토함으로써 인간 감사자가 놓친 취약점을 발견했을 가능성이 높습니다.

교차 사격으로 27개의 포크된 프로토콜이 발견되어 다양한 블록체인이 비상 조치를 발동했습니다.

해커들의 독창적인 공격 방법과 비교했을 때, 업계를 정말 실망스럽게 만드는 것은 Balancer V2가 OpenZeppelin, Trail of Bits, Certora, ABDK 등 4개의 보안 회사에서 총 11번이나 감사를 받았지만 여전히 이 취약점을 발견하지 못했다는 사실입니다.

아이러니하게도, 악용된 특정 구성 요소인 "구성 가능한 안정 풀"은 2022년 9월에 Certora와 Trail of Bits의 감사를 받았습니다.

수년간 온라인 상태를 유지해 왔고 시장에서 테스트를 거친 것으로 보이는 DeFi 프로토콜인 Balancer V2는 무려 27개의 "포크 프로토콜"을 만들어냈으며, 이 모든 프로토콜은 Balancer V2의 논리적 취약점을 그대로 물려받았습니다. 해커에게 이 취약점은 마치 마스터키와 같아서, 결함 있는 코드를 가진 "포크 프로토콜"의 금고를 언제든지 열 수 있게 해 줍니다.

실제로 이 해킹 공격은 여러 블록체인으로 확산되었습니다. 이더리움의 Balancer V2(메인 프로토콜)가 가장 큰 피해를 입었으며, 추정 손실액은 1억 달러에 달했습니다. 다음으로는 베라체인(Berachain)의 BEX 프로토콜이 1,286만 달러의 잠재적 손실을 기록했습니다. 또한, Arbitrum, Base, Sonic을 포함한 다른 7개 퍼블릭 블록체인의 프로토콜도 이 공격의 영향을 받았습니다.

예상치 못한 재난에 직면한 업계는 딜레마에 직면합니다. "코드가 곧 법"이라는 탈중앙화된 근본주의를 고수하며 사용자 자금이 도난당하는 것을 방관해야 할까요? 아니면 사용자 보호를 위해 중앙 집중적인 개입 조치를 취해야 할까요?

가장 큰 타격을 입은 베라체인은 가장 급진적이고 논란의 여지가 있는 결정을 내렸습니다. 바로 검증자 노드를 조정하여 전체 네트워크를 중단하는 것이었습니다. 베라체인은 거래를 롤백함으로써 BEX 거래소에서 1,200만 달러 이상의 위험 자산을 절감했습니다.

물론, 이는 필연적으로 커뮤니티 내에서 논란을 불러일으켰고, 일부에서는 다음과 같은 의문을 제기했습니다. "이렇게 하면 '체인'의 완결성과 보안성이 완전히 훼손되는 것 아닌가요? 이제 퍼블릭 블록체인보다는 프라이빗 체인에 더 가깝지 않나요?" 이에 대해 베라체인(Berachain)의 익명 공동 창립자인 스모키 더 베라(Smokey the Bera)는 다음과 같이 답했습니다. "당신의 우려는 타당하다고 생각하지만, 비상 상황에는 비상 조치가 필요하다고 생각합니다. 과거 수이(Sui)와 하이퍼리퀴드(Hyperliquid) 사례에서 유사한 접근 방식을 본 적이 있습니다."

대부분의 커뮤니티 구성원은 이 결정을 지지합니다. 심하게 손상된 기금 풀의 부정적 영향이 소위 "분권화"에 대한 믿음보다 훨씬 더 클 수 있기 때문입니다.

소닉 체인은 "온체인 계정 동결 메커니즘"을 활성화하여 네트워크를 중단시키지 않고 공격자의 지갑과 340만 달러를 잠갔습니다. 폴리곤의 검증 노드는 공격자 주소에서 발생한 거래를 적극적으로 "검열"하기 시작했습니다.

다수의 취약점 사고가 발생하였고, TVL(총 가치 한도)의 감소로 인해 신뢰 위기가 촉발되었습니다.

Balancer의 역사는 본질적으로 복잡한 논리적 취약점과 끊임없이 싸워온 역사입니다. Balancer는 이전에 여러 차례의 해커 공격을 받았으며, 2020년부터 2025년까지 최소 5건의 취약점 사고가 발생했습니다. 이러한 공격은 초기 플래시 대출 공격부터 더 복잡한 V2 강화 풀 취약점까지 다양합니다.

그러나 과거 사례에서는 손실액이 일반적으로 수십만 달러에서 200만 달러에 달했습니다. Balancer에게 이러한 과거 공격은 취약점을 패치할 수 있는 기회에 가까웠습니다. 그러나 추정 손실액이 1억 달러를 초과하는 이번 재난은 Balancer에 대한 시장의 신뢰와 확신을 완전히 무너뜨렸습니다.

Defillama의 데이터에 따르면, 공격 이후 Balancer의 TVL(TVL)은 7억 7,600만 달러에서 3억 4,500만 달러로 절반 이상 급락했습니다. Balancer V2의 TVL은 무려 2억 3천만 달러나 감소했으며, 해당 포크들도 풀에서 자금이 인출되었습니다. 특히 Gaming DEX의 TVL은 단 하루 만에 87%, Beets DEX는 48% 급락했습니다.

리도는 리도 협정에는 영향이 없지만, 신중한 조치로 영향을 받지 않는 밸런서 입장을 철회했다고 밝혔습니다.

실제로 Gaming DEX와 같은 포크된 프로토콜은 나중에 실제로 영향을 받지 않았으며 대부분의 자금이 단순히 보안상의 이유로 인출되었다고 밝혔습니다.

DeFi 프로토콜의 경우, 특히 반복적인 공격의 역사를 고려할 때 신뢰가 금보다 더 중요합니다. 공식 소식통에 따르면 11월 4일 기준, StakeWise DAO는 다중 서명 프로토콜 컨트랙트 호출을 통해 해커로부터 2천만 달러 이상의 손실을 복구했습니다. 이로써 이번 공격으로 손실된 총액은 9천8백만 달러에 달합니다. 한편, 해커 자산의 이체는 아직 진행 중이며, 절반 이상이 이미 ETH로 전환되었습니다.

1억 2,800만 달러 규모의 이 공격은 DeFi 성장에 있어 값비싸지만 필요한 교훈이 되었으며, 또한 세 가지 날카로운 의문을 제기했습니다.

1. "골드 스탠다드"에 의한 11건의 감사에서도 2년 동안 숨어 있던 치명적인 결함을 발견하지 못했을 때, "감사"의 요점은 무엇인가?

2. "코드 전염"이 일반화되고 기본 프로토콜의 취약점 하나로 27개의 파생 프로토콜이 즉시 파괴될 수 있는 상황에서, DeFi의 결합성은 혁신일까요, 아니면 저주일까요?

3. 새롭게 등장하는 퍼블릭 블록체인이 "탈중앙화"와 "사용자 보호" 중 하나를 선택해야 할 때, "코드가 법이다"라는 이상은 "실용적인 중앙화"로 대체되었는가?

앞으로 DeFi 보안은 단순히 감사 증가에만 의존하지 않고, 공격 표면을 근본적으로 줄이는 더 간단하고 강력한 프로토콜 설계에 의존하게 될 것입니다. 이번 사고로 신뢰와 자본을 잃은 사용자들에게는 이러한 현실 인식의 대가가 엄청나게 클 것입니다.