해커의 인출기로 전락했지만 꿋꿋이 서 있는 Venus, 도난 사건이 드러낸 DeFi의 난처함

저자：谷昱，ChainCatcher

해커는 모든 DeFi 프로토콜의 치명적인 적이며, 대부분의 DeFi 프로토콜은 백만 달러 규모의 공격 손실에 직면하면 무너져 쇠퇴하게 된다. 그러나 BNB 체인의 대표적인 대출 프로토콜이자 바이낸스 내부에서 인큐베이팅된 프로젝트인 Venus Protocol은 분명히 드문 예외이다.

Venus는 처음에 바이낸스가 인수한 Swipe 팀에 의해 개발되었으며, 2020년 BNB 체인 메인넷이 출시된 다음 달에 발표되어 빠르게 BNB 체인에서 가장 많은 잠금 자산과 사용자 규모를 가진 대출 프로토콜이 되었다. RootData에 따르면, 현재 Venus 토큰의 FDV는 9400만 달러, TVL은 14.7억 달러이다.

최근 Venus는 다시 해커 공격의 목표가 되었다. 공식 팀의 복기 자료에 따르면, 공격자는 2025년 6월부터 정상적인 예치 프로세스를 통해 THE 토큰을 천천히 축적하기 시작하여 최종적으로 약 1220만 개의 THE를 보유하게 되었고, 이는 240만 달러의 가치에 해당한다.

3월 15일, 공격자는 모든 THE 토큰을 담보로 대출 계약에 예치하고, 체인 상에서 THE의 유동성이 극히 낮고 TWAP 오라클의 지연을 이용하여 재귀적으로 가격 조작을 수행하여 수백만 달러 가치의 BTC, BNB, CAKE 등의 자산을 대출하였다.

THE 가격의 폭락으로 연쇄 청산이 발생하면서 이 사건은 결국 Venus에 약 215만 달러의 부실채권을 초래하였다. 지난 몇 년의 역사를 되돌아보면, Venus는 거의 매년 해커 공격을 당해왔으며, 특히 오라클 공격으로 인해 Venus는 누적 1억 달러 이상의 부실채권을 기록하였다.

XVS 오라클 가격 조작 사건

2021년 5월, 한 공격자는 XVS 토큰이 중앙화 거래소(주로 바이낸스)에서 유동성이 상대적으로 부족한 약점을 이용하여 짧은 시간 안에 XVS 가격을 약 70달러에서 140달러 이상으로 끌어올렸다. 이후 공격자는 보유하고 있는 XVS를 담보로 하여 Venus 프로토콜에서 대량의 우량 자산(약 2000 BTC 및 5700 ETH)을 대출받았다.

그 후 XVS 가격은 급락하여 최저 31달러로 떨어지며 대규모 청산을 촉발하였다. 시장 유동성이 이렇게 대량의 청산 매도를 지탱할 수 없었기 때문에 Venus 프로토콜은 9500만 달러 이상의 부실채권을 발생시켰다.

이 사건 이후 해당 프로토콜은 Swipe 팀의 관리에서 퇴출을 발표하고, 커뮤니티 구성원들이 새로운 이사회를 구성하여 프로토콜의 후속 거버넌스를 맡게 하였지만, 여전히 깊은 바이낸스 배경을 가지고 있다.

LUNA 폭락 사건

2022년 5월, 이 달의 LUNA 폭락 사건에서 LUNA의 실제 가격은 짧은 시간 안에 0.1달러 이하로 급락하였으나, Chainlink 오라클이 가격이 특정 임계값(0.10달러) 이하로 떨어진 후 업데이트를 중단하여 Venus 프로토콜이 여전히 0.1달러의 잘못된 "고가"로 LUNA 담보를 수용하게 되었다.

공격자는 이 취약점을 발견한 후, 2차 시장에서 저가로 대량의 LUNA를 구매하여 Venus에 예치하고, 허위로 부풀려진 가치로 담보를 제공하여 다른 자산을 대출받아 프로토콜에 다시 1120만 달러 이상의 부실채권을 발생시켰다.

Binance 오라클 사고

2023년 12월, Venus가 유동성이 낮은 자산인 snBNB의 격리 대출 풀에서 Binance 오라클의 가격 데이터를 사용하였기 때문에 공격자는 PancakeSwap의 그 극소수의 풀에서 snBNB를 구매하였고, 깊이가 극히 얇아 snBNB의 가격이 순간적으로 터무니없는 수준으로 상승하였다.

공격자는 이후 0.49개의 snBNB를 예치하고 풀에서 거의 모든 사용 가능한 자산(WBNB, BNBx, ankrBNB 등)을 대출받아 총 가치 약 27.4만 달러를 획득한 후, 크로스 체인 브리지를 통해 세탁하였다. 결국 Venus 거버넌스는 제안을 통해 국고 자금을 전액 사용하여 이 부실채권을 메웠다.

wUSDM 오라클 가격 조작 사건

2024년 2월, 한 공격자는 ERC-4626 프로토콜의 취약점을 이용하여 Mountain Protocol이 발행한 wUSDM 스테이블코인의 가격을 짧은 시간 안에 1.7달러로 상승시켰고, 이후 공격자는 Venus 프로토콜에 소량의 wUSDM을 예치하였다.

오라클이 조작된 "허위 고가"를 읽어들였기 때문에, 공격자는 이러한 부풀려진 가치의 wUSDM 담보를 이용하여 풀에서 더 높은 가치의 다른 자산(예: USDC, ETH 등)을 대출받았다. wUSDM 가격이 정상적인 1달러로 되돌아가면서 공격자는 이미 대출한 자산을 이전하고 반환하지 않았고, Venus는 해당 거래를 청산한 후 약 71.6만 달러의 부실채권을 발생시켰다.

커뮤니티 거버넌스 논란

위의 공격 사건 외에도, Venus는 2021년 9월에 한 거버넌스 사건으로 외부의 의혹을 받았다. 당시 한 Venus 커뮤니티 사용자가 "Bravo 팀 구성"이라는 제목의 제안을 게시하여 해당 팀에 원래 거버넌스 팀과 동등한 수준의 투표 및 자금 조달 능력을 부여하고자 하였다.

그러나 발의자는 토큰 배포를 약속하여 투표를 유도한 것으로 보인다. 제안서에 따르면, 제안된 자금 조달의 190만 XVS 토큰 중 Bravo 팀은 90만 XVS(2900만 달러)를 찬성 투표한 주소에 배포할 것이라고 하였다. 결국 9월 14일 오후 10시 33분, 이 제안은 129만 표의 찬성과 119만 표의 반대 투표로 통과되었다.

업계의 관념에 따르면, 체인 상의 거버넌스 제안이 투표를 통해 통과되면 팀이 이를 실행해야 하지만, Venus 팀은 "원클릭 취소"를 하여 익명의 인물이 뇌물을 통해 프로토콜을 통제하는 것을 막겠다고 밝혔다. 이는 지금까지 DeFi 산업에서 극히 드문 체인 상 거버넌스 제안이나 투표가 통과되었으나 실행되지 않은 경우 중 하나이다.

또한 2025년 9월, Venus 프로토콜에서는 사용자 손실이 1300만 달러를 초과하는 보안 사고가 발생하였으나, 이는 주로 해당 사용자의 컴퓨터 인터페이스 프론트가 해커에 의해 변조되어 "주소 위임(authorize)" 거래에 서명하도록 유도된 결과였다.

Venus가 "생존자"가 된 이유

이러한 공격 사건들을 종합적으로 살펴보면, Venus는 암호화 분야에서 드문 "생존자"로 평가될 수 있으며, 아마도 해커 공격에 대응하는 데 있어 "가장 경험이 많은" 프로젝트가 되었을 것이다. 이는 상당 부분 바이낸스가 암호화 거대 기업으로서 자원과 브랜드 측면에서 Venus에 지속적으로 지원을 해주었기 때문이며, 이렇게 많은 보안 사고가 발생했음에도 불구하고 바이낸스는 여전히 자산 관리 기능을 통해 거래소 사용자들이 Venus에 예치하여 더 높은 수익률을 얻도록 유도하고 있다.

Venus 체인 상 TVL 통계 출처 ：DeFillama

잘 알려진 바와 같이, 바이낸스는 BNB 체인 생태계에서 절대적인 발언권을 가지고 있다. 바이낸스의 대출 분야의 주요 지원 대상인 Venus는 항상 다른 대부분의 DeFi 프로젝트가 가지지 못한 생태적 편향과 위험 보전 능력을 누리고 있으며, 이는 일련의 보안 위험이 존재할 수 있음에도 불구하고 그렇다.

업계 관점에서 볼 때, DeFi의 취약성은 이러한 사례에서 더욱 두드러진다. 오라클 지연, 저유동성 자산, 가격 조작, 거버넌스 메커니즘의 취약점 등 이러한 문제는 Venus뿐만 아니라 더 많은 DeFi 프로젝트의 역사에서 반복적으로 발생해왔다.

고도로 자동화된 DeFi 시스템에서 특정 단계에 설계 결함이 발생하면 공격자는 종종 가격, 유동성 또는 시간 차를 이용하여 복잡한 차익 거래 공격을 구축할 수 있다.

Venus가 여러 차례의 위기 속에서도 계속해서 생존할 수 있었던 것은 강력한 생태적 지원과 자금 보상 능력에 크게 의존하고 있다. 그러나 대부분의 DeFi 프로젝트에게는 수천만 달러 규모의 공격이 발생하면 전체 프로토콜이 종료되는 경우가 많다.

Venus의 "예외"는 주요 생태계가 프로젝트를 보호하는 능력을 입증할 뿐만 아니라, DeFi 보안 시스템의 일반적인 취약성을 반영한다. 즉, 보안이 "거대 기업의 보전"에만 의존하고 프로토콜 자체의 리스크 관리 및 메커니즘 보장이 아닌 경우, DeFi의 진정한 안전성은 여전히 멀고도 험한 길이다.