'무한 채굴' 공격이 Yearn Finance의 yETH를 강타하여 밸런서 풀에서 280만 개가 유출되고 YFI 토큰에 비정상적인 시장 반응을 일으켰습니다.
와이언 파이낸스는 일요일 저녁 늦게 자사의 이더리움 상품에 영향을 미치는 공격이 발생한 것을 확인했습니다. 이 사건은 공격자가 사실상 무제한의 이더를 발행하여 밸런서 풀의 유동성을 고갈시킨 후 발생했습니다.
이 사건으로 인해 토네이도 캐시를 통해 여러 건의 100 ETH 거래가 발생하는 등 온체인에서 격렬한 움직임이 일어났고, 그 결과 밸런서 풀의 유동성이 고갈되었습니다.
'인피니트 민트' 공격과 유동성 유출
블록체인 데이터에 따르면, 11월 30일 21:11경에 악성 지갑이 '인피니트 민트'로 알려진 공격을 실행하면서 이 익스플로잇이 발생했습니다. 공격자는 단 한 번의 거래로 약 235조 원에 달하는 막대한 양의 이더를 생성했습니다.
난센의 경보 시스템은 나중에 이 공격을 확인했으며, 해당 이벤트는 이더리움 볼트 인프라가 아닌 이더리움 토큰 계약의 '무한-민트' 취약점으로 확인했습니다. 공격자는 새로 발행된 이더리움 풀을 악용하여 발란서의 유동성 풀에서 실제 자산(주로 이더리움 및 유동성 스테이킹 토큰(LST))을 빼낼 수 있었습니다. 초기 추정에 따르면 약 280만 달러의 자산이 유출된 것으로 추정됩니다.
또 다른 발란서 관련 움직임은 토네이도와의 많은 상호 작용을 고려할 때 익스플로잇으로 보입니다. 토그베는 X에서 얀, 로켓풀, 오리진, 디네로 및 기타 LST가 관련되어 있다고 말했습니다.
미탐지 시스템과 공격 후 재활용
약 1.000 ETH가 Tornado Cash를 통해 전송되어 '재활용'되었습니다. 공격자는 거래 경로를 모호하게 하기 위해 사건 발생 몇 분 전에 배포되고 곧 자폭한 여러 개의 헬퍼 컨트랙트를 사용하는 등 치밀한 계획을 보여주었습니다.
Yearn은 V2 및 V3 볼트는 공격의 영향을 받지 않았다며 커뮤니티를 안심시키고자 했습니다. 앞서 언급했듯이 이 취약점은 구형 yETH 구현에만 국한된 것으로 보입니다. 코인게코에 따르면 이 사건에도 불구하고 프로토콜의 총 잠긴 가치(TVL)는 6억 달러 이상을 유지하고 있으며, 이는 핵심 시스템과 코어 자금이 손상되지 않았음을 시사합니다.
YFI 토큰의 이상한 '짧은 스퀴즈'
시장 반응은 예상치 못한 이상 현상을 일으켰습니다. 소셜 미디어에 익스플로잇이 보고된 직후, 얀의 거버넌스 토큰인 YFI의 가격은 한 시간도 채 되지 않아 4,080달러에서 4,160달러 이상으로 급등했습니다.
이 같은 비정상적인 급등은 사건 발생 초기에 시장을 잘못 해석했기 때문인 것으로 보입니다. "Yearn의 익스플로잇"에 대한 일반적인 초기 보도로 인해 트레이더들은 YFI에 대해 높은 레버리지의 <숏> 포지션을 오픈했습니다. 공격이 이더리움에만 국한되었고 주요 볼트에 영향을 미치지 않았기 때문에 공매도자들은 빠르게 포지션을 헤지하기 시작했습니다.
이 강제 청산은 숏 스퀴즈와 이후 변동성 중심의 가격 급등을 촉발시켰습니다. 유통 토큰이 33,984개에 불과한 YFI는 디파이에서 유동성이 가장 낮은 지배구조 자산 중 하나로, 가격 변동을 크게 증폭시키는 구조입니다.
당장 손실은 익스플로잇의 영향을 받은 yETH 및 밸런서 풀에 국한된 것으로 보입니다. 조사는 아직 진행 중이며 도난당한 자산에 대한 복구 옵션이 존재하는지 여부는 불분명합니다. 시장은 근본 원인, 패치 작업 및 잠재적인 거버넌스 조치에 대해 자세히 설명하는 Yearn의 공식적인 공시를 기다리고 있습니다.
와이언 파이낸스는 일요일 저녁 늦게 자사의 이더리움 상품에 영향을 미치는 공격이 발생한 것을 확인했습니다. 이 사건은 공격자가 사실상 무제한의 이더를 발행하여 밸런서 풀의 유동성을 고갈시킨 후 발생했습니다.
이 사건으로 인해 토네이도 캐시를 통해 여러 건의 100 ETH 거래가 발생하는 등 온체인에서 격렬한 움직임이 일어났고, 그 결과 밸런서 풀의 유동성이 고갈되었습니다.
'인피니트 민트' 공격과 유동성 유출
블록체인 데이터에 따르면, 11월 30일 21:11경에 악성 지갑이 '인피니트 민트'로 알려진 공격을 실행하면서 이 익스플로잇이 발생했습니다. 공격자는 단 한 번의 거래로 약 235조 원에 달하는 막대한 양의 이더를 생성했습니다.
난센의 경보 시스템은 나중에 이 공격을 확인했으며, 해당 이벤트는 이더리움 볼트 인프라가 아닌 이더리움 토큰 계약의 '무한-민트' 취약점으로 확인했습니다. 공격자는 새로 발행된 이더리움 풀을 악용하여 발란서의 유동성 풀에서 실제 자산(주로 이더리움 및 유동성 스테이킹 토큰(LST))을 빼낼 수 있었습니다. 초기 추정에 따르면 약 280만 달러의 자산이 유출된 것으로 추정됩니다.
미탐지 시스템과 공격 후 재활용
약 1.000 ETH가 Tornado Cash를 통해 전송되어 '재활용'되었습니다. 공격자는 거래 경로를 모호하게 하기 위해 사건 발생 몇 분 전에 배포되고 곧 자폭한 여러 개의 헬퍼 컨트랙트를 사용하는 등 치밀한 계획을 보여주었습니다.
Yearn은 V2 및 V3 볼트는 공격의 영향을 받지 않았다며 커뮤니티를 안심시키고자 했습니다. 앞서 언급했듯이 이 취약점은 구형 yETH 구현에만 국한된 것으로 보입니다. 코인게코에 따르면 이 사건에도 불구하고 프로토콜의 총 잠긴 가치(TVL)는 6억 달러 이상을 유지하고 있으며, 이는 핵심 시스템과 코어 자금이 손상되지 않았음을 시사합니다.
YFI 토큰의 이상한 '짧은 스퀴즈'
시장 반응은 예상치 못한 이상 현상을 일으켰습니다. 소셜 미디어에 익스플로잇이 보고된 직후, 얀의 거버넌스 토큰인 YFI의 가격은 한 시간도 채 되지 않아 4,080달러에서 4,160달러 이상으로 급등했습니다.
이 같은 비정상적인 급등은 사건 발생 초기에 시장을 잘못 해석했기 때문인 것으로 보입니다. "Yearn의 익스플로잇"에 대한 일반적인 초기 보도로 인해 트레이더들은 YFI에 대해 높은 레버리지의 <숏> 포지션을 오픈했습니다. 공격이 이더리움에만 국한되었고 주요 볼트에 영향을 미치지 않았기 때문에 공매도자들은 빠르게 포지션을 헤지하기 시작했습니다.
이 강제 청산은 숏 스퀴즈와 이후 변동성 중심의 가격 급등을 촉발시켰습니다. 유통 토큰이 33,984개에 불과한 YFI는 디파이에서 유동성이 가장 낮은 지배구조 자산 중 하나로, 가격 변동을 크게 증폭시키는 구조입니다.
당장 손실은 익스플로잇의 영향을 받은 yETH 및 밸런서 풀에 국한된 것으로 보입니다. 조사는 아직 진행 중이며 도난당한 자산에 대한 복구 옵션이 존재하는지 여부는 불분명합니다. 시장은 근본 원인, 패치 작업 및 잠재적인 거버넌스 조치에 대해 자세히 설명하는 Yearn의 공식적인 공시를 기다리고 있습니다.
다음 읽기
3,200만 업비트 해킹: 토큰 솔라나가 한국 시장에서 스타가 되다!
업비트는 해커의 공격으로 3,200만 개의 솔라나 토큰을 횡령한 후 입출금을 중단하여 한국 시장에서 큰 프리미엄을 발생시켰습니다.
영국 암호화폐 강도 사건: 유죄 판결 및 자기 관리 위험
영국에서 430만 개가 넘는 암호화폐가 도난당한 사건은 자기 보관의 보안과 인적 요소의 위험성에 대한 의문을 제기합니다.
암호화폐 충돌: 중국, 루비안의 127,000 BTC 비트코인 익스플로잇에 대해 미국을 비난하다
중국은 미국이 2020년에 루비안에서 127,000 BTC를 '유출'했다고 비난합니다. 연구원들은 이 익스플로잇을 키 생성의 결함과 연관시킵니다.
새로운 일레븐 드레인 공격: 암호화폐 지갑에 대한 위협
새로운 서비스형 피싱인 Eleven Drainer가 사업을 확장하고 있습니다. 공격의 정교함에도 불구하고 인적 오류는 여전히 주요 약점으로 남아 있습니다. 방어책은 사용자 규율에 있습니다.