Back to Blog

뉴스레터 - 2026년 2월

Code Auditing
March 1, 2026
2 min read

2월 DeFi 주요 사고 Top 3

YieldBlox DAO: 약 $1,000만

2026년 2월 22일, Stellar의 Blend V2에서 YieldBlox DAO가 운영하는 대출 풀이 익스플로잇 피해를 입어 $1,000만 이상의 손실이 발생했습니다.

근본 원인은 조작 가능한 가격 소스에 대한 의존이었습니다. 구체적으로, SDEX의 USTRY/USDC 마켓은 유동성이 매우 낮은 상태였습니다. 공격자는 정상 주문을 모두 소거하고 비정상적인 주문을 삽입하여 USTRY 가격을 약 $1.06에서 $107로 인위적으로 부풀렸습니다. 이후 Reflector가 조작된 값으로 가격 피드를 업데이트하면서 대출 풀은 USTRY 담보 가치를 심각하게 과대평가하게 되었습니다. 공격자는 이렇게 부풀려진 담보 평가를 활용하여 소량의 USTRY 담보만 제공하고 두 번의 트랜잭션을 통해 약 100만 USDC와 6,120만 XLM을 빌렸습니다. 탈취된 자산은 이후 Base, BSC, Ethereum으로 브리징되었습니다.

중요한 점은, 이번 사고가 컨트랙트 취약점으로 인한 것이 아니라 풀 운영자 수준의 설정 오류로 발생했다는 것입니다. 이 사례는 외부 오라클에 의존하는 대출 프로토콜에서 조작에 강한 견고한 가격 피드가 얼마나 중요한지를 강조합니다. 프로토콜 운영자는 오라클 소스를 선택하고 지속적으로 모니터링할 때 각별한 주의를 기울여야 합니다.

심층 기술 분석 보기

IoTex: 약 $440만

2026년 2월 21일, IoTeX의 ioTube 브리지가 보안 침해를 당해 $440만 이상의 손실이 발생했습니다.

근본 원인은 Ethereum 측 Validator 컨트랙트 소유자의 개인 키 탈취였습니다. 브리지 아키텍처가 다중 서명이나 타임락 안전장치 없이 단일 소유자에게 전체 관리 권한을 부여했기 때문에, 공격자는 Validator 컨트랙트의 upgrade() 함수를 호출하여 TokenSafeMintPool 컨트랙트의 소유권을 공격자가 제어하는 주소로 이전할 수 있었습니다. 공격자는 이후 MintPool을 통해 4억 1,000만 CIOTX 이상을 발행하고, TokenSafe에서 약 $440만 상당의 브리지 준비 자산(USDC, USDT, WBTC, WETH, BUSD 등)을 탈취했습니다. 프로젝트 팀에 따르면, 2월 26일 기준으로 발행된 CIOTX 토큰 중 약 3억 5,500만 개가 영구적으로 잠금 처리되거나 동결되었습니다.

이번 사고는 전형적인 단일 장애점 키 탈취 사례로, 크로스체인 브리지 아키텍처에서 중앙화된 관리 통제의 심각한 위험성을 다시 한번 부각시켰습니다. 프로젝트 팀은 특히 컨트랙트 업그레이드, 자산 보관, 토큰 발행과 같은 고위험 작업에서 중요한 권한을 단일 계정에 집중하는 것을 피해야 합니다.

CrossCurve: 약 $280만

2026년 2월 2일, CrossCurve 브리지 프로토콜이 Ethereum, Arbitrum, Optimism을 포함한 여러 체인에 걸쳐 익스플로잇 피해를 입었습니다. 이번 사고로 약 $280만의 손실이 발생했습니다.

근본 원인ReceiverAxelar 컨트랙트가 Axelar Gateway의 표준 검증 프로세스를 우회하는 무허가 expressExecute() 함수를 노출하고 있었다는 점입니다. Axelar의 의도된 보안 모델에서는 크로스체인 메시지가 먼저 Gateway의 승인을 받은 후 validateContractCall()을 통해 목적지 체인에서 검증되어야 합니다. 그러나 expressExecute() 경로는 이 프로세스를 완전히 건너뛰고 sourceChainsourceAddress 파라미터를 이용한 화이트리스트 확인에만 의존했습니다. 그런데 두 파라미터 모두 사용자가 지정할 수 있어 공격자가 스푸핑할 수 있었습니다. 공격자는 화이트리스트에 등록된 피어 주소로 위조된 메시지를 조작하여 모든 보안 검사를 우회하고 Eywa CLP Portalunlock() 함수를 트리거해 999,787,453 EYWA 토큰을 출금했습니다.

이번 사고는 빠른 실행 경로도 표준 실행 흐름과 동일한 보안 가정, 검증 로직, 접근 제어 보장을 적용해야 한다는 것을 보여줍니다. 표준 신뢰 모델을 약화시키는 모든 최적화는 사실상 보안 우회로를 만드는 것과 같습니다.

위 정보는 2026년 2월 28일 00:00 UTC 기준 데이터를 바탕으로 합니다.

이것으로 2월 보안 사고 브리핑을 마칩니다.

자세한 내용은 보안 사고 라이브러리에서 확인하실 수 있습니다.

항상 최신 정보를 확인하고 안전하게 지내세요!

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit