Stake DAO, 공격자가 5.4조 개의 합성 토큰을 발행하자 Arbitrum의 vsdCRV 시장을 중단

무한 발행(Infinite-Minting) 허점이 악용을 촉발

탈중앙화 금융(DeFi) 플랫폼 스테이크 DAO는 5월 27일, 아비트럼(Arbitrum) 레이어 2 네트워크상의 자사 프로토콜이 악용 공격을 받아, 권한 없는 제3자가 악의적으로 수조 개의 합성 토큰을 발행할 수 있었다고 확인했습니다. 블록체인 보안 업체 블록에이드(Blockaid)의 예비 조사 결과에 따르면, 공격자는 스테이크 DAO의 vsdCRV 볼트 로직 및 자동 보상 분배 시스템과 관련된 무한 발행 취약점을 악용했습니다.

해당 계약은 유효하지 않은 상태 전환을 허용하여 심각한 내부 회계 오류를 초래했다. 이 허점을 통해 공격자는 vsdCRV의 공급량을 5.4조 개나 부풀릴 수 있었다. 일부 보도에 따르면, 문제가 발견되어 중단되기 전까지 공격자는 영향을 받은 유동성 풀에서 약 9만 1천 달러 상당의 양도 가능한 디지털 자산을 빼돌린 것으로 알려졌다.

Stake DAO 핵심 기여자들은 추가 피해를 최소화하기 위해 신속히 대응하여, 이더리움 메인넷에서 vsdCRV의 담보를 성공적으로 확보했다고 발표했다. 신속한 대응 덕분에 프로토콜 관계자들은 공격자가 메인넷 자금을 탈취할 수 없음을 확인했다. 또한 팀은 vsdCRV 브리지를 비활성화하여, 이 취약점의 경제적 영향을 Arbitrum 생태계 내로 성공적으로 제한했다.

스테이크 DAO는 소셜 미디어 플랫폼 X를 통해 공유한 성명에서 "현재 평가에 따르면, 모포(Morpho)상의 부스트드 예일즈(Boosted yields), 리퀴드 로커(Liquid Lockers), 보트마켓(Votemarket) 및 스테이크 DAO 대출 서비스는 영향을 받지 않았다"고 밝혔다.

그러나 해당 프로토콜은 이번 사건의 여파로 Arbitrum의 vsdCRV Llamalend 시장이 영구적으로 폐쇄될 것이라고 밝혔다. 스테이크 DAO는 사용자에게 vsdCRV 계약과 상호작용하지 말 것을 권고했으며, crvUSD 예치자들에게 영향을 받지 않은 다른 Llamalend 시장으로 자금을 이동할 것을 촉구하고 있다.

디파이(DeFi) 보안의 위태로운 국면

법 집행 기관에 이미 통보된 상태이며, 스테이크 DAO는 외부 보안 파트너들과 협력하여 도난 자산의 흐름을 추적하고 침해된 스마트 계약에 대한 포괄적인 포렌식 감사를 수행 중이라고 밝혔다. 이번 사건은 더 넓은 디파이(DeFi) 생태계가 오픈제플린(Openzeppelin)의 공동 창립자 마누엘 아라오즈(Manuel Aráoz)가 최근 "모든 디파이는 안전하지 않다"고 주장하며 확산시킨 논리에 맞서 싸우려던 시점에 발생했다. 아라오즈의 암울한 평가는 업계 관계자들을 충격에 빠뜨렸으며, 이미 잇따른 프로토콜 해킹과 구조적 취약점으로 지쳐 있던 업계 내 자성(自省)을 촉발했다. 스테이크 DAO 해킹 사건은 아라오즈의 주장을 실증하는 동시에, 기관 및 개인 투자자의 신뢰를 회복하려는 업계의 노력을 더욱 복잡하게 만들고 있다.

이 주장은 오픈제플린(Openzeppelin)으로 하여금 아라오즈와 거리를 두는 성명을 발표하게 만들었으며, 회사는 그가 2019년에 조직을 떠났다고 밝혔다. 또한 오픈제플린은 아라오즈가 제기한 주요 우려 사항에 대해, 인공지능이 실제 위협 요소이기는 하지만 "엄격한 기준과 전문가의 판단"을 바탕으로 사용될 경우 강력한 방어 수단이 될 수 있음을 인정했다.

오픈제플린은 성명을 통해 "우리 연구원들은 더 많은 문제와 극단적인 사례를 포착하기 위해 매일 AI를 활용하고 있다"며, "AI 위험에 대한 해답은 디파이(DeFi)에서 물러나는 것이 아니라, 보안 강화에 있다"고 밝혔다. 최근 잇따른 보안 사고와 관련해 오픈제플린은 이러한 사고의 상당수가 스마트 계약 버그보다는 운영상의 보안 실패에서 비롯된 것이라고 주장했다.