암호화폐 분야에서 DeFi(탈중앙화 금융)는 오랫동안 혁신적인 모델로 여겨져 왔습니다. 전통적인 은행 없이 스마트 계약을 통해 대출 및 거래 서비스를 제공하는 DeFi가 그 예입니다. DeFi의 핵심 유동성 프로토콜인 Balancer는 유연한 풀 설계를 통해 사용자가 자산을 관리하고 수익을 창출할 수 있도록 지원합니다. 그러나 2025년 11월 3일 이른 아침, 이 프로토콜은 심각한 취약점 공격을 받았습니다. 공격자들은 Balancer V2의 구성형 스테이블 풀에서 약 1억 2,800만 달러를 인출했습니다. 이 사고는 시장의 신뢰를 손상시켰고, 특히 고위험 자산을 중심으로 많은 DeFi 프로젝트의 가격이 하락했습니다. 이는 Balancer만의 문제가 아니라 전체 DeFi 생태계에 경종을 울리는 사건입니다. 기술 혁신은 빠르게 진행되고 있지만, 보안 문제는 여전히 지속적인 위협으로 남아 있습니다.

이 사건은 일요일 새벽 베이징 시간으로 오전 2시경 발생했습니다. 당시 대부분의 글로벌 트레이더들은 휴식을 취하고 있었습니다. 공격자들은 플래시론을 이용하여 트레이딩 풀의 가중치를 조작했습니다. 처음에는 거래가 정상적으로 진행된 것처럼 보였지만, 곧 자금이 비정상적으로 흘러가기 시작했습니다. 한 풀은 ETH와 USDC 등의 자산을 포함하여 약 7천만 달러의 손실을 입었습니다. 온체인 데이터에 따르면 총 손실액은 1억 2천 8백만 달러에 달했습니다.

계약 설계의 실수

Balancer V2의 구성형 스테이블 풀은 고급 설계를 통해 사용자가 다양한 유동성 전략을 결합할 수 있도록 하며, 가중치를 동적으로 조정하여 수익을 최적화하고 슬리피지(slippage)를 줄일 수 있도록 합니다. 이러한 유연성은 Balancer의 핵심 강점이지만, 동시에 복잡성을 야기합니다. 이 공격은 계약의 치명적인 결함, 즉 가중치 계산 중 정수 오버플로 문제를 악용했습니다. 공격자가 플래시 대출을 통해 대량의 가짜 유동성을 주입하자 풀의 자산 배분이 왜곡되었습니다. 이전에 균형을 이루던 50% ETH와 50% USDC 비율은 순식간에 극도로 불균형해졌습니다. 공격자는 이후 실물 자산을 인출하여 대출금을 상환하고 차익거래를 완료했습니다.

몇 달 전, 보안 회사 Webacy는 감사 과정에서 이러한 잠재적 문제를 발견했습니다. Webacy는 수학 공식이 극한 상황에서 오작동할 수 있다고 지적했습니다. 그러나 이 경고는 제때 해결되지 않았습니다. 당시 Balancer 팀은 Uniswap V4와 같은 경쟁사의 압력에 대응하기 위한 새로운 기능 개발에 집중하고 있었습니다. DeFi 업계의 개발 속도는 매우 빠르기 때문에 코드 검토가 지연되는 경우가 있습니다. 이는 단발적인 사례가 아닙니다. 올해 DeFi 분야에서 유사한 사고가 여러 건 발생하여 총 손실액이 21억 7천만 달러를 초과했습니다. 예를 들어, 로닌 브리지에 대한 6억 달러 규모의 공격과 폴리 네트워크 취약점은 모두 유사한 설계 결함에서 비롯되었습니다. 이더리움의 창시자 비탈릭 부테린은 이러한 복잡성이 DeFi에 양날의 검과 같다고 언급했습니다. 설계가 단순할수록 보안성이 더 높은 경우가 많기 때문입니다.

공격자들은 매우 숙련된 기술을 보유하고 있었습니다. 이들은 DeFi 개발 경험이 있을 가능성이 높으며, Solidity 언어의 경계 조건을 활용하여 이러한 공격을 수행했습니다. 자금 추적 결과, 일부 자산이 믹싱 도구로 유입되어 그들의 활동을 더욱 은폐한 것으로 나타났습니다. 이 사건은 스마트 계약 보안 감사가 경계 테스트 및 공식 검증을 포함한 더욱 엄격한 절차를 요구한다는 점을 다시 한번 일깨워줍니다.

팀의 대응

Balancer 팀의 대응은 훌륭했습니다. 사고 발생 후 단 15분 만에 비상 메커니즘을 작동시켜 영향을 받은 모든 V2 풀을 동결시켰습니다. 이는 이전 감사에서 테스트되었던 사전 준비된 비상 조치였습니다. 창립자 페르난도 마르티넬리는 라이브 스트리밍과 공식 발표를 통해 사용자들에게 "이번 사고는 내부 오류였으며, 저희가 모든 책임을 지겠습니다."라고 밝혔습니다.

다음으로, 팀은 PeckShield 및 Certik과 같은 감사 기관과 협력하여 심층 조사를 수행했습니다. 조사 결과, 이 취약점은 고빈도 가중치 조정 시 경계 조건을 부적절하게 처리하여 자산 배분 오류를 초래한 데서 비롯된 것으로 나타났습니다. 팀은 48시간 이내에 상세 보고서를 발표하고 다중 서명 및 더욱 강화된 검증 도구를 추가한 V2.1 버전을 출시할 것이라고 약속했습니다. 보상 계획은 핵심입니다. 손실의 90%는 볼트 펀드로 충당하고, 나머지는 소규모 사용자를 우선시하여 DAO 투표를 통해 결정됩니다. 동시에, 시장 가격 안정화를 위해 거버넌스 토큰인 BAL의 일부를 소각할 계획입니다.

커뮤니티 반응은 양극화되었습니다. 팀의 투명성과 효율성을 칭찬하는 사람도 있었지만, 왜 초기 경고가 무시되었는지 의문을 제기하는 사람도 있었습니다. 익명의 한 개발자는 개발 압력이 너무 커서 엣지 케이스 테스트가 부족했다고 언급했습니다. 그럼에도 불구하고 보상 포털이 11월 4일에 오픈했고, 사용자들은 자금을 청구하기 시작했습니다. 한 사용자는 팀이 손실을 환불했을 뿐만 아니라 추가 토큰을 보상으로 제공했기 때문에 DeFi 참여를 다시 고려하게 되었다고 공유했습니다.

DeFi의 교훈

밸런서 사건은 DeFi의 고질적인 문제를 반영하는 거울과 같습니다. 탈중앙화는 중앙 기관의 부재를 의미하지만, 동시에 전적으로 코드와 커뮤니티에 책임이 있음을 의미합니다. 혁신은 빠르게 진행되지만 보안은 뒤처집니다. 올해 발생한 여러 취약점 사건은 업계의 사고방식 변화가 필요함을 보여줍니다. 로닌 사건 이후, 연결 보안 강화를 위한 노력이 필요했지만, 유사한 문제가 계속해서 반복되고 있습니다.

전문가들은 "보안 우선" 접근 방식을 권장합니다. 여기에는 정식 검증 도구를 사용하여 계약 논리를 검토하거나 AI 지원 감사를 도입하는 것이 포함됩니다. Optimism과 같은 레이어 2 네트워크는 보안 기금 조성을 가속화하고 있으며, Uniswap은 감사 예산을 늘렸습니다. 개발자 커뮤니티는 보안 모범 사례를 공유하기 위해 여러 오픈소스 이니셔티브를 시작했습니다. Vitalik의 글은 복잡성이 문제가 아니라 위험을 무시하는 것이 문제라고 강조합니다.

장기적으로 이 사건은 DeFi의 성숙을 가속화할 수 있습니다. 기존 금융권의 전문적인 감사를 더욱 적극적으로 유치하고 사용자들의 위험 회피 성향을 강화할 것입니다. DeFi는 위험 없는 천국이 아니라, 신중한 참여가 필요한 분야입니다.