디파이(DeFi) 대출 프로토콜을 겨냥한 연쇄 해커들이 최근 오라클의 설정 오류를 악용하여 총 350만 달러(약 50억2,565만원)에 달하는 자금을 탈취한 사건이 발생했다. 가장 최근의 공격은 대출 플랫폼 플루토스 머니(Ploutos Money)에서 발생했으며, 이 사건으로 약 40만 달러(약 5억7,436만원)의 자금이 유출된 것으로 추정된다.
보안 업체 서티케이(CertiK)는 해당 프로젝트가 웹사이트와 소셜 미디어의 흔적을 삭제한 것으로 보인다고 밝혔다. 블록체인 보안 감사 업체 블록섹(BlockSec)의 분석에 따르면, 플루토스 머니는 스테이블코인 USDC의 가격 오라클로 체인링크(LINK)의 비트코인(BTC)/달러 피드를 잘못 사용했다. 이 오라클 미스컨피규레이션(설정 오류)을 통해 공격자는 담보로 USDC 8개만 예치하고도 이더리움(ETH) 187개를 대출받는 비정상적인 상황을 초래할 수 있었다.
특히, 공격이 발생한 시점과 관련하여 블록섹은 설정 오류가 확인된 직후, 단 1개 블록 뒤에 익스플로잇이 실행되었다고 지적하며, 공격자가 이러한 설정 변경을 면밀히 모니터링했을 가능성에 대해 의혹을 제기했다. 그러나 서티케이와 블록섹의 게시글에는 내부자의 연루 가능성에 대한 의심도 나타났다.
이번 공격자는 문웰(Moonwell)에서 발생한 두 건의 추가 해킹 사건과 연결되어 있다는 보고가 있다. 문웰은 최근 오라클의 cbETH 가격이 잘못 반환되어 180만 달러(약 25억8,462만원)의 부실채권(bad debt)이 발생하는 사고를 겪었다. 이와 관련된 코드 변경이 문웰 기여자들과 함께 작성되었다는 점도 문제로 지적되고 있다.
또한 같은 날 다른 사건으로 이더리움 기반의 ‘프라이빗 ZK 복권’ 프로젝트인 FOOM CASH에서 160만 달러(약 22억9,744만원)가 유출됐다. 이 사건은 깨진 ZK 검증기가 악용되어 발생한 것으로, 검증 로직 설계 및 적용에서의 오류가 주요 원인으로 분석되고 있다.
이번 연쇄 해킹 사건의 공통점은 오라클 설정이나 검증기 구현 같은 기본 요소의 사소한 오류가 대규모 자금 유출로 이어질 수 있다는 점이다. 디파이 시장에서 체인링크(LINK)와 같은 외부 가격 정보의 의존도가 높기 때문에, 설정 변경 시점의 모니터링과다중 검증, 배포 전후 점검 체계를 강화하는 것이 피해 확산을 방지하는 핵심 과제로 떠오르고 있다.
디파이 분야에서 오라클 설정이나 검증기 상수 설정의 작은 오류로 인해 담보 대비 과도한 대출이 발생하고, 비밀값이 필요 없는 상태가 되는 경우 피해가 급격히 커질 수 있다는 점은 더욱 우려스럽다. 이러한 상황에 대처하기 위해 사용자와 투자자는 오라클 구성 및 최근 업그레이드 이력 등 세부 사항을 체크하는 것이 중요하다.
디파이의 구조와 위험을 깊이 이해하는 것이 요구되는 이 시점에서, 토큰포스트 아카데미의 교육 과정이 유의미한 선택이 될 수 있다. 투자자들은 자산 보호를 위한 실전 기준을 세우고, 얼마나 리스크를 관리할 수 있는지에 대한 자기 점검이 필요할 것이다.
