Yearn 파이낸스가 최근 발생한 대규모 해킹 공격으로 약 900만 달러(약 132억 2,910만 원)의 손실을 입었다. 공격자는 yETH와 관련된 스마트컨트랙트의 취약점을 이용해 무한히 yETH를 발행할 수 있는 구조를 악용하였고, 이로 인해 커스텀 스테이킹 풀에서 대량의 유동성이 탈취되었다.
이번 해킹 사건은 Yearn 파이낸스의 yETH 토큰이 연결된 레거시 스테이블스왑 풀을 목표로 진행되었으며, 블록체인 보안 기업인 펙쉴드(PeckShield)가 문제를 최초로 공개했다. 공격자는 담보 없이 새로운 yETH를 발행할 수 있는 스마트컨트랙트 구조의 약점을 노렸다. 이를 통해 stETH, rETH와 같은 이더리움 스테이킹 파생상품들이 모여 있는 커스텀 풀에서 유동성을 훔쳤다.
해킹에 사용된 자금 세탁 경로로는 토네이도 캐시(Tornado Cash)가 활용되었으며, 현재까지 약 300만 달러(약 44억 970만 원) 이상의 이더리움(ETH)이 이 경로를 통해 익명화된 상태로 전해지고 있다. 나머지 약 600만 달러(약 88억 1,940만 원) 상당의 토큰은 여전히 범인의 지갑 주소(0xa80d…c822)에 보관되어 있다.
Yearn 파이낸스는 자체 조사 결과에 따르면 Curve의 yETH-WETH 풀에서 90만 달러(약 13억 2,290만 원), 익스플로잇 풀에서 추가로 800만 달러(약 117억 5,920만 원)가 유출되었다고 발표했다. 그리고 일부 사용자들에게는 프로젝트의 디스코드 플랫폼에서 지원 요청 티켓을 접수할 수 있도록 안내하고 있다.
이 사건에 대응하기 위해 Yearn 파이낸스는 사고 발생 직후 SEAL911 및 보안 감사 파트너인 체인시큐리티(Chain Security)와 함께 비상 대응팀을 구성하고, 사고 원인에 대한 포렌식 분석에 착수했다. 초기 분석 결과, 이번 공격은 최근에 발생한 밸런서(Balancer) 프로토콜 공격과 유사한 기술적 복잡성을 지닌 것으로 보인다. 이와 같은 공격은 정밀도 손실로 인해 발생하는 계산 오류를 감지하며, 스마트컨트랙트 아키텍처의 취약점을 통해 1억 2,000만 달러(약 1,763억 8,800만 원) 이상에 해당하는 피해를 초래했다.
현재 업계에서는 지갑 추적 및 기술 분석 외에도, 동일한 구조적 취약점을 공유하는 다른 프로젝트에 대한 점검이 시급하다는 지적이 이어지고 있다. 특히 DeFi 생태계 내 다양한 커스텀 파생상품 풀들은 미래의 더 정교한 공격 대상으로 지목될 가능성이 크다.
이번 해킹 사건은 불과 며칠 전 발생한 업비트의 5,000만 달러(약 735억 원) 규모의 이더리움 피싱 해킹과 연관되어, 글로벌 주요 플랫폼들이 여전히 보안 리스크에 노출되어 있음을 보여준다. 탈중앙화 금융 인프라의 높은 유연성과 혁신 뒤에는 여전히 심각한 보안 취약성이 존재한다는 점을 분명히 하고 있다.
이번 사건은 DeFi 시스템의 커스텀 풀 구조에서 발생할 수 있는 리스크를 재차 확인시켜주며, 스마트컨트랙트 설계에서 발견될 수 있는 미세한 논리적 허점이 큰 재정적 피해로 이어질 수 있음을 경고한다. 기존 풀과 디리버티브(pool + derivatives) 구성에서 프로토콜 리스크를 분명히 인식하고 있는 사용자들은 yETH와 같은 자산의 리스크 프리미엄을 재평가할 필요성이 높아 보인다.
