한 번의 '표적 폭파' 플래시론 공격, 스테이블코인 유동성의 구조적 균열 노출

사건 개요

2026년 1월 20일 새벽, 정밀하게 계획된 플래시론 공격이 Curve의 DUSD/USDC 유동성 풀에서 약 420만 달러를 탈취했습니다. 이는 2026년 초 가장 기술적으로 표적화된 스테이블코인 공격 사례 중 하나로 기록되었습니다. 이번 공격은 DUSD의 핵심 발행 또는 상환 메커니즘을 건드리지 않았으며, 단일 유동성 장소에 집중적으로 타격을 가함으로써, 오라클 의존성, 유동성 가정 및 DeFi의 조합 가능성이 중첩될 때 시스템적 위험이 국소적으로 어떻게 급격히 증폭될 수 있는지를 명확히 보여주었습니다.

DUSD는 멀티체인 DeFi 실행 엔진인 Makina Finance가 발행한 스테이블코인입니다. 사후 공개된 정보에 따르면, 공격자는 플래시론을 통해 약 2.8억 달러 상당의 USDC를 차입하여 극히 짧은 시간 내에 해당 풀과 관련된 가격 입력을 조작했습니다. 이를 통해 유동성 포지션의 장부 가치를 부풀리고, 시스템이 재조정되기 전에 차익 거래를 완료하여, 풀에 있던 약 1,299 ETH 상당의 자산을 모두 이전했습니다.

강조할 점은, 이번 사건이 DUSD의 전체 공급량에 영향을 미치지 않았으며, 단순히 DUSD, Pendle 또는 Gearbox 포지션을 보유한 사용자들에게도 피해가 미치지 않았다는 것입니다. Makina는 사후 즉시 이 경계를 명확히 했지만, 공격의 속도와 정밀도는 겉보기에 잘 격리된 유동성 풀이라 할지라도, 자본이 고도로 집중되고 오라클 응답에 시간 차이가 존재하는 상황에서는 여전히 '단일 장애점'이 될 수 있음을 보여주었습니다.

공격은 어떻게 실행되었나

기술적 경로로 보면, 이번 공격은 최근 몇 년간 DeFi 보안 연구자들에게 이미 익숙한 패턴을 따르지만, 실행 측면에서 더욱 절제되고 집중되었습니다. 공격자는 막대하고 순간적으로 주입된 USDC를 이용해 DUSD/USDC 풀의 가격 구조를 왜곡시켰습니다. 이로 인해 해당 가격에 의존하는 관련 로직이 동일 블록 내에서 오판을 하게 되어 '유동성이 충분하다'는 착각을 만들었고, 무위험 차익 거래를 위한 조건을 조성했습니다.

플래시론은 사전 자본이 필요 없으며, 동일한 트랜잭션 내에서 상환되어야 하기 때문에, 공격자는 방향성 위험을 거의 부담하지 않았으며, 그 핵심 수단은 시간 차원에서의 가격 왜곡에 있었습니다. 이러한 취약점 유형은 여러 DeFi 시나리오에서 반복적으로 나타나고 있으며, 특히 유동성 풀이 시간 가중치나 다중 소스 집계 데이터가 아닌 단일 또는 단기 가격 신호에 의존할 때, 일시적인 불균형에 더 쉽게 이용당할 수 있습니다.

최종 결과는 시스템적 붕괴가 아닌, 깔끔한 탈취였습니다. Makina는 이후 약 510만 달러 상당의 USDC 자산이 해당 풀에서 유출되었으며, 손실은 전적으로 유동성 공급자들이 부담했고, 프로토콜의 나머지 부분은 정상적으로 운영되고 있음을 공개했습니다.

사후 조치 및 격리

Makina의 대응 속도는 어느 정도 여러 보안 사건 이후 DeFi의 성숙도가 향상되었음을 보여줍니다. 팀은 공격 범위가 Curve의 DUSD/USDC 풀에만 국한됨을 신속히 확인했으며, 공격 발생 전에 이미 유동성 공급자 잔액 스냅샷을 완료했습니다. 동시에 '복구 모드'를 가동하여 영향을 받은 LP들이 추가적인 공황 매도를 피하기 위해 DUSD로 일방적으로 상환할 수 있도록 했습니다.

1월 21일에 발표된 공식 성명에서 Makina는 공격자의 온체인 신원에 관한 단서를 확보했으며, 그들과 접촉을 시도 중이라고 밝혔습니다. 또한 보안 조정 완료 후 상환 기능을 재개하고 대체적인 출구 전략을 제공할 것을 약속했습니다. 이러한 처리 방식은 초기 DeFi 사건에서 정보 지연과 영향 범위 불명확으로 인한 연쇄 반응과는 대조적이며, 오늘날 프로토콜 간의 차이는 점점 절대적인 '제로 취약점' 약속보다는 사후 관리 능력에 더 많이 나타나고 있음을 시사합니다.

시장 신호와 유동성 기억

DUSD 사건이 주는 교훈 중 하나는 이전의 유동성 서사와 강한 대비를 이룬다는 점입니다. 불과 몇 달 전인 2025년 9월, DUSD/USDT 거래 쌍은 PancakeSwap의 TVL 순위에서 1위를 차지했으며, 총 예치액은 1억 2,900만 달러, 24시간 거래량은 8,211만 달러, 7일 누적 거래량은 4억 3,900만 달러에 달해 일부 거래 생태계에서 높은 활성도와 강력한 유동성을 대표하는 것으로 간주되었습니다.

이러한 역사적 배경은 특히 중요한데, 이는 반복적으로 나타나는 DeFi 법칙을 드러내기 때문입니다: 유동성 깊이 자체가 안전성과 동일하지 않습니다. 자본이 고도로 집중되고 스테이블코인의 페그 관계가 당연시될 때, 이러한 풀들은 오히려 '표적 폭파'의 이상적인 목표물이 되기 쉽습니다. 특히 인센티브 메커니즘과 가격 가정이 지속적인 스트레스 테스트를 받지 않은 경우에는 더욱 그렇습니다.

이러한 관점에서, 이번 공격은 DUSD가 스테이블코인으로서의 실행 가능성을 직접적으로 부정하지는 않았지만, 오랫동안 존재해 온 사실을 다시 한 번 입증했습니다: 가장 '안정적'으로 보이는 장소는 종종 상대방이 충분한 도구를 보유했을 때 가장 비용 효율적인 공격 대상이 됩니다.

더 넓은 스테이블코인 함의

단일 사건을 넘어, DUSD의 플래시론 공격은 온체인 스테이블코인이 크로스체인, 크로스 프로토콜 확장 과정에서 직면하는 구조적 도전을 반영합니다. 조합 가능성은 자본 효율성을 극대화했지만, 동시에 복잡한 의존성 네트워크를 구축하여 국소적 장애가 특정 사용자 집단에게 불균형적인 영향을 미칠 가능성을 만들었습니다.

규제 기관, 기관 자본 및 인프라 제공업체들이 점차 스테이블코인을 단순한 거래 도구가 아닌 지급 및 결제 레이어로 간주함에 따라, 유사한 사건들은 시장으로 하여금 프로토콜 수준의 견고성과 구체적인 유동성 장소의 위험을 더 명확히 구분하도록 강요하고 있습니다. LP 수익을 추구하는 사용자들에게 이러한 구분은 특히 중요하지만, 종종 간과되곤 합니다.

이번 사건에서 DUSD 보유자 자체는 영향을 받지 않았는데, 이 점은 Makina가 전체적인 신뢰도를 유지하는 데 도움이 될 수 있습니다. 그러나 더 장기적인 관점에서 보면, DeFi 안정성의 다음 단계는 더 이상 TVL 숫자나 표면적 유동성에 의해 결정되지 않을 수 있습니다. 대신 프로토콜이 어떻게 가장 취약한 부분을 설계, 격리 및 강화하는지, 특히 플래시 유동성과 가격 발견이 정면으로 충돌하는 곳에서 어떻게 대처하는지에 따라 결정될 것입니다.