Balancer 취약점 사건: DeFi의 중대한 시험

암호화폐 분야에서 DeFi(탈중앙화 금융)는 혁신적인 모델로 여겨지며, 전통적인 은행 없이 스마트 계약을 통해 대출 및 거래 서비스를 제공합니다. Balancer는 DeFi에서 중요한 유동성 프로토콜로, 유연한 풀 디자인을 통해 사용자가 자산을 관리하고 수익을 올릴 수 있도록 돕습니다. 그러나 2025년 11월 3일 새벽, 이 프로토콜은 심각한 취약점 공격을 당했습니다. 공격자는 Balancer V2 버전의 Composable Stable Pools에서 약 1.28억 달러의 자금을 인출했습니다. 이 사건은 시장 신뢰를 손상시켰고, 많은 DeFi 프로젝트의 가격이 하락했으며, 특히 고위험 자산이 큰 타격을 받았습니다. 이는 단순히 Balancer의 문제가 아니라 전체 DeFi 생태계에 대한 경각심을 일깨우는 사건이었습니다: 기술 혁신은 빠르지만, 안전 문제는 항상 잠재적인 위험입니다.

사건은 일요일 아침, 베이징 시간으로 새벽 2시경에 발생했습니다. 당시 전 세계의 거래자들은 대부분 휴식을 취하고 있었습니다. 공격자는 플래시 론 메커니즘을 이용해 풀의 가중치 조정을 조작했습니다. 처음에는 거래가 정상적으로 보였지만, 곧 자금이 비정상적으로 흐르기 시작했습니다. 하나의 풀은 약 7천만 달러를 잃었으며, ETH와 USDC 등의 자산이 포함되었습니다. 체인 상의 데이터에 따르면, 총 손실은 1.28억 달러에 달했습니다.

계약 설계의 누락

Balancer V2의 Composable Stable Pools는 진보된 설계입니다. 이는 사용자가 다양한 유동성 전략을 조합할 수 있게 하며, 가중치는 동적으로 조정되어 수익을 최적화하고 거래 슬리피지를 줄입니다. 이러한 유연성은 Balancer의 핵심 장점이지만, 복잡성을 초래하기도 합니다. 이번 공격은 계약 내의 한 가지 주요 결함을 이용했습니다: 가중치 계산 과정에서 정수 오버플로우 문제가 발생했습니다. 공격자가 플래시 론을 통해 대량의 가짜 유동성을 주입할 때, 풀의 자산 분배가 왜곡되었습니다. 원래 균형 잡힌 50% ETH와 50% USDC 비율이 극단적으로 불균형해졌습니다. 공격자는 이 기회를 이용해 실제 자산을 인출한 후, 대출을 상환하여 차익 거래를 완료했습니다.

몇 달 전, 보안 회사 Webacy는 감사 중 이 잠재적 문제를 이미 주목했습니다. 그들은 극단적인 조건에서 수학 공식이 오류를 일으킬 수 있다고 지적했습니다. 그러나 이 경고는 적시에 처리되지 않았습니다. 당시 Balancer 팀은 Uniswap V4와 같은 경쟁자의 압박에 대응하기 위해 새로운 기능 개발에 집중하고 있었습니다. DeFi 업계의 개발 속도가 빠르기 때문에 코드 검토가 때때로 지연되기도 합니다. 이는 고립된 사례가 아니며, 올해 DeFi 분야에서 이미 여러 차례 유사한 사건이 발생하여 총 손실이 217억 달러를 초과했습니다. 예를 들어 Ronin 브리지의 6억 달러 공격과 Poly Network의 취약점도 유사한 설계 누락에서 비롯되었습니다. 이더리움 창시자 비탈릭 부테린은 나중에 이러한 복잡성이 DeFi의 양날의 검이라고 언급하며, 단순한 설계가 종종 더 안전하다고 말했습니다.

공격자의 작전은 매우 전문적이었습니다. 그들은 아마도 DeFi 개발 경험이 있으며, Solidity 언어의 경계 조건을 이용해 이번 작전을 수행했을 것입니다. 자금 추적 결과, 일부 자산은 믹싱 도구로 흘러가며 흔적을 더욱 숨겼습니다. 이 사건은 스마트 계약의 보안 감사가 더 엄격한 프로세스를 필요로 한다는 점을 일깨워줍니다. 여기에는 경계 테스트와 형식 검증이 포함됩니다.

팀의 대응

Balancer 팀의 대응 속도는 칭찬할 만합니다. 사건 발생 후 단 15분 만에 그들은 긴급 메커니즘을 활성화하고 모든 영향을 받은 V2 풀을 동결했습니다. 이는 사전에 설정된 비상 조치로, 이전 감사에서 이미 테스트되었습니다. 창립자 페르난도 마르티넬리는 생중계와 공식 발표를 통해 사용자에게 상황을 설명했습니다: "이것은 우리의 내부 오류이며, 우리는 끝까지 책임을 질 것입니다."

이후 팀은 PeckShield 및 Certik와 같은 감사 회사와 협력하여 심층 조사를 진행했습니다. 결과는 고주파 가중치 조정 하에서 경계 조건이 제대로 처리되지 않아 자산이 잘못 분배되었다는 것이었습니다. 그들은 48시간 내에 상세 보고서를 발표하고 V2.1 버전을 출시하여 다중 서명 및 더 강력한 검증 도구를 추가하겠다고 약속했습니다. 보상 방안은 핵심 사항이었습니다: 금고 자금은 90%의 손실을 보상할 것이며, 나머지 부분은 DAO 투표를 통해 결정되며, 소액 사용자를 우선 고려할 것입니다. 동시에 그들은 시장 가격을 안정시키기 위해 일부 거버넌스 토큰 BAL을 소각할 계획입니다.

커뮤니티 반응은 양극화되었습니다. 일부는 팀의 투명성과 행동력을 칭찬했지만, 다른 일부는 왜 초기 경고가 무시되었는지 의문을 제기했습니다. 한 익명의 개발자는 개발 압박이 너무 커서 경계 사례 테스트가 부족하다고 언급했습니다. 그럼에도 불구하고 보상 포털은 11월 4일에 오픈되어 사용자가 자금을 수령하기 시작했습니다. 한 사용자는 팀이 손실을 환불했을 뿐만 아니라 추가로 토큰을 보상으로 제공하여 그녀가 DeFi에 계속 참여할 것을 재고하게 만들었다고 공유했습니다.

DeFi의 교훈

Balancer 사건은 DeFi의 심층 문제를 반영하는 거울과 같습니다: 탈중앙화는 중앙 권위가 없음을 의미하지만, 동시에 책임이 코드와 커뮤니티에 전적으로 있다는 것을 의미합니다. 혁신 속도는 빠르지만, 안전은 따라가지 못하고 있습니다. 올해 여러 차례의 취약점 사건은 업계가 사고 방식을 전환해야 함을 보여줍니다. Ronin 사건 이후, 사람들은 브리지 보안을 강화해야 했지만, 유사한 문제는 여전히 반복되고 있습니다.

전문가들은 "안전 우선" 접근 방식을 채택할 것을 권장합니다. 예를 들어, 형식 검증 도구를 사용하여 계약 논리를 검사하거나 AI 보조 감사를 도입하는 것입니다. Optimism과 같은 Layer2 네트워크는 이미 안전 기금을 구축하는 데 속도를 내고 있으며, Uniswap도 감사 예산을 늘리고 있습니다. 개발자 커뮤니티는 안전한 모범 사례를 공유하기 위해 몇 가지 오픈 소스 활동을 시작했습니다. 비탈릭의 글은 복잡함이 문제가 아니라 위험을 무시하는 것이 문제라고 강조합니다.

장기적으로 이 사건은 DeFi의 성숙을 촉진할 수 있습니다. 이는 더 많은 전통 금융의 전문 감사가 유입되도록 하고, 사용자들이 위험 관리에 더 주의를 기울이게 할 것입니다. DeFi는 제로 리스크의 낙원이 아니라, 신중하게 참여해야 하는 분야입니다.