12월 DeFi 상위 3대 사고
Yearn Finance: 약 $900만
12월 1일, 이더리움의 Yearn Finance yETH 풀이 공격을 받아 총 $900만 이상의 손실이 발생했습니다. 외부 보안 팀의 지원을 받아 같은 날 약 $239만(857.49 pxETH)이 성공적으로 회수되었습니다.
취약점은 새로운 공급량 근사치를 계산하기 위해 반복적인 방법을 사용하는 _calc_supply() 함수에 존재했습니다. 안전하지 않은 수학 연산으로 인해 반올림 오류와 언더플로우 문제가 발생했습니다. 취약점 자체는 비교적 단순해 보였지만, 공격자는 정교한 단계를 실행하여 이를 악용했으며, 수익을 추출하기 전에 풀의 공급량을 0으로 조작했습니다.
16일 후, 해당 프로토콜은 구버전(iEarn)의 오래된 컨트랙트가 침해되는 두 번째 보안 사고를 겪었습니다. 이 사고는 2023년에 이미 식별된 알려진 잘못된 구성 취약점을 악용한 것이었습니다. 두 번째 사고로 $30만의 손실이 발생하여, 해당 프로토콜의 월간 총 피해액은 약 $1,000만에 달하게 되었습니다.
Trust Wallet: 약 $700만
크리스마스 당일, Trust Wallet의 Chrome 확장 프로그램(v2.68)에서 심각한 보안 침해가 발생하여 약 $700만의 사용자 자금이 탈취되었습니다.
근본 원인은 코드베이스에 삽입된 악성 백도어로, 개발팀을 대상으로 한 소셜 엔지니어링 공격에서 비롯된 것으로 의심됩니다. 이 백도어 메서드는 사용자의 니모닉을 공격자가 제어하는 서버에 업로드하여, 해당 특정 버전의 확장 프로그램을 통해 생성되거나 가져온 모든 니모닉을 침해합니다. 이후 공격자는 여러 체인에서 사용자 자금을 탈취하여 비KYC 거래소로 전송했습니다.
사고 이후 Trust Wallet 팀은 백도어를 제거하는 긴급 업데이트를 배포하고 피해 사용자에 대한 보상 계획을 발표했습니다. 이번 침해 사고는 보안이 프로토콜 전체 생명주기에 걸쳐 적용되어야 한다는 것을 명확히 상기시켜 줍니다. 온체인 코드 감사 외에도, 오프체인 인프라 보안과 지속적인 모니터링 유지는 사용자 자산 보호에 필수적입니다.
Ribbon Finance: 약 $270만
12월 12일, 이더리움의 Ribbon Finance가 공격을 받아 $270만의 손실이 발생했습니다.
근본 원인은 Oracle 컨트랙트 내 setAssetPricer() 함수의 부적절한 접근 제어로, 누구든지 임의로 자산 가격을 설정할 수 있었습니다. 공격자는 프로토콜이 매주 단위로만 옵션을 정산한다는 점을 이용해 탐지를 피하기 위해 먼저 정상적으로 보이는 가격 오라클을 설정했습니다. 콜 옵션 포지션을 생성하고 매수한 후, 공격자는 행사일까지 기다렸다가 컨트랙트를 업그레이드하여 기존의 무해한 오라클을 인위적으로 부풀린 자산 가격을 설정하는 악성 오라클로 교체하고, 옵션을 행사하여 수익을 추출했습니다.
이 사고는 접근 제어가 스마트 컨트랙트 보안의 핵심 요소임을 다시 한번 강조합니다. 권한 관리에서의 단 하나의 실수가 프로토콜을 심각한 위험에 노출시킬 수 있습니다. 배포 전에 모든 관리자 함수를 검토하는 포괄적인 보안 감사가 이러한 취약점을 식별하고 해결하는 데 필수적입니다.
위 정보는 2025년 12월 30일 00:00 UTC 기준 데이터를 바탕으로 합니다.
12월 보안 사고 브리핑을 마칩니다
보안 사고 라이브러리에서 더 자세한 내용을 확인하실 수 있습니다.
항상 최신 정보를 확인하고 안전하게 지내세요!



