탈중앙화 금융(DeFi) 프로토콜 온yx가 9월 26일 해킹당해 380만 달러의 손실을 입었다고 블록체인 보안 플랫폼 펙쉴드(Peck Shield)가 보고했다. 이번 해킹은 컴파운드 파이낸스(Compound Finance) 버전 2에서 발견된 알려진 오류를 이용하였으며, 해당 오류는 이미 11월 1일에 온yx에서 첫 번째로 악용되었던 바 있다. 보고서에 따르면, NFT 청산 계약의 취약점 또한 해킹에 기여했다.

온yx 팀은 9월 27일 X(Post)에서 잘못된 NFT 계약이 해킹의 주된 원인이라고 주장했다. 펙쉴드 보고서에 따르면, 이번 공격으로 410만 VUSD, 735만 온yx코인(XCN), 0.23 웨rapped 비트코인(WBTC), 5,000달러 상당의 다이(DAI) 스테이블코인, 5만 달러 상당의 테더(USDT) 스테이블코인이 프로토콜에서 유출되었다. 전체 손실액은 380만 달러를 초과한 것으로 나타났다.

알려진 취약점은 컴파운드 파이낸스 버전 2에 존재하며, 이는 종종 탈중앙화 금융 프로토콜에서 포크(fork)되어 사용된다. 이로 인해 2023년 4월에 헌드레드 파이낸스에 대한 공격이 발생하기도 했다. 이 취약점이 온yx에 악용된 것은 이번이 두 번째 사례다. 해당 취약점은 시장에 유동성이 없는 상태, 즉 '빈 시장'에서만 악용될 수 있으며, 이러한 상황은 일반적으로 새로운 시장이 출시될 때 발생한다.

온yx 팀은 해킹 사건을 인정하며, “온yx 프로토콜은 악의적인 행위자로 인해 VUSD가 유출되는 보안 사고에 노출됐다”고 언급했다. 그러나 이들은 알려진 취약점이 주된 원인이 아니었다고 주장하며, “[T] 빈 시장이 아니라 NFT 청산 계약이 주된 문제였다”고 덧붙였다. 펙쉴드는 NFT 계약 또한 공격을 촉진하는 또 다른 문제로 거론하며, 잘못된 계약이 공격자가 “자기 청산 보상 금액을 부풀리는” 것을 가능하게 했다고 설명했다.

DeFi 해킹 사건은 Web3 사용자에게 손실의 일반적인 원천이다. 9월 27일에는 액체 스테이킹 프로토콜 베드락이 uniBTC 계약의 취약점으로 인해 200만 달러 이상의 손실을 입었으며, 9월 23일에는 뱅크롤 네트워크가 230,000달러를 해킹당했다. 이러한 연쇄적인 보안 문제가 DeFi 분야의 커다란 도전 과제가 되고 있다.

온yx 프로토콜은 이번 사건을 통한 교훈을 바탕으로 보안 강화에 노력하고 있으며, 사용자들의 자금을 안전하게 보호하기 위해 향후 방안도 지속적으로 모색할 예정이다. DeFi 환경에서 보안은 가장 중요한 요소로 떠오르고 있으며, 프로토콜 개발자들은 이러한 사건들을 통해 자신의 서비스의 안전성을 확보해야 하는 과제가 있다.


crossorigin="anonymous">