가상화폐 또다시 흔들린 디파이(DeFi) 생태계, 밸런서(Balancer) 대규모 해킹 사건

목차

• 서론: 또다시 흔들린 디파이 생태계, 밸런서 대규모 해킹 사건
• 밸런서 해킹의 전말: 1억 2천 8백만 달러 이상의 디지털 자산 유출
• 취약점 분석: ‘manageUserBalance’ 기능과 스마트 계약의 맹점
• 파급 효과: 밸런서를 넘어 디파이 생태계 전반에 미친 영향
• 밸런서의 대응 및 자금 회수 노력
• 스마트 계약 감사의 딜레마: 10번 이상의 감사도 막지 못한 해킹
• 결론: 디파이 보안의 미래와 나아가야 할 길
• 자주 묻는 질문 (FAQ)

서론: 또다시 흔들린 디파이 생태계, 밸런서 대규모 해킹 사건

분산 금융(DeFi) 생태계의 주요 프로토콜 중 하나인 밸런서(Balancer)가 2025년 11월 3일 월요일, 대규모 보안 침해를 겪으며 디파이 커뮤니티에 또다시 충격을 던졌습니다. 초기 보고된 7천만 달러에서 최종적으로 1억 2천 8백만 달러를 넘어서는 막대한 디지털 자산이 유출된 이 사건은, 암호화폐 시장에 다시 한번 보안에 대한 경각심을 불러일으키고 있습니다.

밸런서는 탈중앙화 거래소(DEX)이자 자동화된 시장 조성자(AMM)로서, 유동성 공급자들이 다양한 자산 비율로 풀을 생성하고 거래 수수료를 통해 수익을 창출할 수 있게 함으로써 디파이 시장에서 중요한 역할을 해왔습니다. 오랜 기간 운영되며 여러 차례의 철저한 보안 감사를 거쳤던 프로토콜임에도 불구하고 발생한 이번 대규모 해킹은, 스마트 계약 감사의 실효성과 디파이 생태계의 끊임없이 진화하는 위협에 대한 근본적인 질문을 던지고 있습니다.

밸런서 해킹의 전말: 1억 2천 8백만 달러 이상의 디지털 자산 유출

이번 해킹 사건은 2025년 11월 3일 월요일 이른 아침에 발생했습니다. 최종 추정 피해 금액은 1억 2천 8백만 달러(일부 추정치 $128.6M) 이상으로, 그 중 최소 9천 9백만 달러가 이더리움(ETH) 기반 자산인 것으로 파악되었습니다.

공격의 주요 대상은 밸런서 V2의 ‘Composable Stable Pools’ 및 일반 V2 유동성 풀이었습니다. 다행히 Balancer V3 및 다른 풀들은 이번 취약점의 영향을 받지 않았습니다. 탈취된 자산 목록을 살펴보면, 래핑 이더(WETH) 약 6,587개(약 2,446만 달러), StakeWise Staked ETH (osETH) 약 6,851개(약 2,686만 달러), 리도 wstETH (wstETH) 약 4,260개(약 1,927만 달러) 등 고가치의 이더리움 기반 자산들이 대부분을 차지했습니다. 이 자산들은 공격자들의 지갑으로 유입된 후 세탁을 위해 믹서나 크로스 체인 브릿지를 통해 이동되었을 가능성이 제기되었습니다.

취약점 분석: ‘manageUserBalance’ 기능과 스마트 계약의 맹점

이번 해킹을 가능하게 한 근본적인 원인은 Balancer V2의 manageUserBalance 기능 내의 결함 있는 접근 제어 메커니즘으로 밝혀졌습니다. 이 치명적인 결함은 공격자가 승인 프로토콜을 우회하고, 정당하게 소유하지 않은 내부 잔액을 무단으로 인출할 수 있도록 허용했습니다.

초기 분석에 따르면 공격자는 소수점 정밀도 오류(precision/rounding error)와 관련된 취약점을 이용하거나, manageUserBalance 기능의 접근 제어 검사를 우회하여 무단 인출 명령을 실행한 것으로 보입니다. 또한, Vault의 스왑 계산에서의 소수점 정밀도 오류와 부적절한 승인 및 콜백 처리 역시 공격을 성공시키는 데 기여한 것으로 지적되었습니다. 중요한 점은 이번 취약점이 개인 키 손상이 아닌, 순전히 스마트 계약 코드의 결함에 기반한 것이라는 사실입니다. 부적절한 인증과 콜백 처리는 공격자가 보호 장치를 우회하여 권한 없는 스왑과 상호 연결된 풀들 사이의 잔액 조작을 가능하게 했고, 이는 몇 분 만에 대규모 자산이 소진되는 결과로 이어졌습니다.

파급 효과: 밸런서를 넘어 디파이 생태계 전반에 미친 영향

이번 밸런서 해킹 사건은 단순히 하나의 프로토콜에 국한되지 않고, 더 넓은 디파이 생태계와 암호화폐 시장 전반에 광범위한 파급 효과를 미쳤습니다.

밸런서 프로토콜에 미친 영향:

• BAL 토큰 가격 급락: 사건 발생 직후 밸런서의 네이티브 토큰인 BAL은 초기 4% 이상 하락했으며, 다년간 최저치인 약 0.97달러까지 근접하며 지속적인 하락세를 보였습니다.
• 프로토콜 총 예치 자산(TVL) 급감: 밸런서 프로토콜의 총 예치 자산(TVL)은 24시간 내에 7억 7천 6백만 달러에서 4억 6백만 달러로 급격히 감소했습니다. 이는 투자자들의 신뢰가 얼마나 크게 훼손되었는지를 보여줍니다.

다른 프로토콜 및 체인에 미친 영향:

• 이 공격은 이더리움, 베이스(Base), 폴리곤, 아비트럼, 옵티미즘 등 여러 블록체인 네트워크에 걸쳐 영향을 미쳤습니다.
• 밸런서 코드를 포크(fork)하여 구축된 다른 프로토콜들도 피해를 입었습니다. 예를 들어, 베라체인(Berachain) 재단은 네트워크를 중단하고 일부 탈취 자금을 동결하는 등 긴급 조치를 단행했습니다.
• 그노시스(Gnosis), 소닉(Sonic), 비피(Beefy) 등 다른 암호화폐 플랫폼들도 유사한 공격 가능성에 대비하여 보호 조치를 시행했습니다.

더 넓은 시장 영향:

• 이번 밸런서 해킹은 암호화폐 시장 전반의 침체에 기여했습니다. 특히 이더리움(ETH) 가격은 한때 7-9% 하락하며 3,600달러 지지선 아래로 떨어지는 등 불안정한 모습을 보였습니다.
• 이 사건은 디파이 산업 내 기존의 보안 우려를 더욱 심화시켰으며, 시장 신뢰에 부정적인 영향을 미쳤습니다.

밸런서의 대응 및 자금 회수 노력

밸런서 팀은 해킹 사건을 신속하게 인지하고 대응에 나섰습니다.

• 신속한 공지: 사건 발생 직후 밸런서는 X(구 트위터)를 통해 공식 발표를 하고, 엔지니어링 및 보안 팀이 높은 우선순위로 문제 해결을 위한 조사에 착수했음을 알렸습니다.
• 사용자 보호 조치: 영향을 받은 유동성 풀의 사용자들에게 자산을 인출할 것을 촉구했으며, 해당 풀들을 복구 모드로 전환하거나 일시 중지하는 등의 조치를 취했습니다. 또한, 사기성 메시지에 대한 경고를 발령하고 공식 채널을 통해서만 정보를 확인할 것을 권고했습니다.
• 자금 회수 제안: 밸런서 팀은 해커에게 탈취 자산의 20%(약 2,320만 달러)를 ‘화이트햇 바운티’로 제안하며, 48시간 내에 자금을 반환할 것을 요청했습니다.
• 수사 협력 의사: 독립적인 블록체인 포렌식 전문가 및 법 집행 기관과의 협력 의사도 표명했습니다.

안타깝게도, 현재까지 해커가 제안을 수락했다는 소식은 없으며, 회수된 자산은 없는 것으로 알려지고 있습니다.

스마트 계약 감사의 딜레마: 10번 이상의 감사도 막지 못한 해킹

이번 밸런서 해킹은 밸런서 프로토콜 역사상 가장 큰 규모의 보안 침해이며, 2020년 이래 여섯 번째 주요 보안 사고입니다. 밸런서는 과거에도 다음과 같은 보안 사고를 겪은 바 있습니다.

• 2020년 6월: 약 52만 달러 손실.
• 2023년 3월: Euler Finance 해킹의 간접 피해로 약 1,190만 달러 손실.
• 2023년 8월: V2 풀 정밀도 취약점으로 약 210만 달러 손실.
• 2023년 9월: DNS 하이재킹으로 약 24만 달러 손실.
• 2024년 6월: Velocone(밸런서 포크) 해킹으로 약 680만 달러 손실.

이러한 이력에도 불구하고 밸런서는 OpenZeppelin, Trail of Bits, Certora, ABDK 등 4개의 평판 좋은 보안 회사로부터 10~11회에 걸쳐 스마트 계약 감사를 진행해왔습니다. 가장 최근 감사는 2022년 9월에 이루어졌습니다. 이처럼 광범위한 감사 이력에도 불구하고 대규모 해킹이 발생하자, 스마트 계약 감사의 유효성과 한계에 대한 업계의 논란이 재점화되었습니다.

TAC 블록체인의 수하일 카카르(Suhail Kakar)는 “감사를 받았다고 해서 보안이 보장되는 것은 아니다”라고 지적하며, 디파이 보안의 근본적인 한계를 꼬집었습니다. 복잡하게 얽혀 있는 디파이 생태계에서 스마트 계약 감사가 모든 잠재적 취약점을 사전에 발견하고 막아내는 것이 얼마나 어려운 일인지, 이번 밸런서 해킹 사건은 다시 한번 여실히 보여주고 있습니다.

결론: 디파이 보안의 미래와 나아가야 할 길

밸런서의 1억 2천 8백만 달러 이상의 대규모 해킹 사건은 디파이 생태계가 직면한 보안 문제의 심각성과 그 광범위한 함의를 다시 한번 강조합니다. 이는 분산 금융 환경에서 끊임없이 진화하는 위협의 본질을 보여주며, 단순히 ‘감사 완료’라는 문구만으로는 사용자 자산을 보호하기에 역부족임을 깨닫게 합니다.

이번 사건으로부터 얻을 수 있는 가장 중요한 교훈은 기존 감사 방식 이상의 보안 패러다임 전환이 시급하다는 것입니다. 정형 검증(Formal Verification)을 통한 코드의 수학적 증명, 활발한 버그 바운티 프로그램 운영, 실시간 온체인 모니터링 시스템 강화, 그리고 디파이 보험 상품의 활성화 등 다각적인 접근 방식이 필요합니다. 또한, 커뮤니티의 지속적인 경계심 강화와 사용자 교육을 통해 잠재적인 위험에 대한 인식을 높이는 것도 중요합니다.

디지털 자산의 보호와 더욱 견고하고 안전한 분산형 미래를 구축하기 위해서는 기술적 혁신과 함께 끊임없는 보안 의식 제고, 그리고 생태계 참여자들 간의 긴밀한 협력이 필수적입니다. 밸런서 해킹 사건은 디파이 생태계가 한 단계 더 성숙하기 위한 값비싼 교훈이자, 미래 보안 전략을 재정비해야 할 중요한 전환점이 될 것입니다.

자주 묻는 질문 (FAQ)

Q: 밸런서 해킹은 언제 발생했나요?

A: 2025년 11월 3일 월요일 이른 아침에 발생했습니다.

Q: 총 피해 금액은 얼마인가요?

A: 최종 추정 피해 금액은 1억 2천 8백만 달러 이상입니다.

Q: 해킹의 주요 원인은 무엇이었나요?

A: Balancer V2의 manageUserBalance 기능 내의 결함 있는 접근 제어 메커니즘이 근본적인 원인으로 밝혀졌습니다.

Q: 밸런서 팀은 해커에게 어떤 제안을 했나요?

A: 탈취 자산의 20%(약 2,320만 달러)를 ‘화이트햇 바운티’로 제안하며 48시간 내 반환을 요청했습니다.

Q: 스마트 계약 감사를 여러 번 받았음에도 해킹이 발생한 이유는 무엇인가요?

A: 복잡한 디파이 생태계에서 스마트 계약 감사가 모든 잠재적 취약점을 사전에 발견하고 막아내는 것이 어렵기 때문입니다. 이는 감사만으로는 보안이 보장되지 않는다는 점을 보여줍니다.

이 글이 마음에 드세요?

RSS 피드를 구독하세요!