Ethereum 디파이 플랫폼 Makina Finance는 1월 20일, 해커들이 DUSD-USDC 유동성 풀의 가격 오라클을 조작하면서 약 1,299 ETH, 약 410만 달러 상당을 잃었다. 해당 풀은 Curve Finance에 호스팅되어 있다.
한 MEV 빌더가 공격을 선행 거래(frontrun)하여 탈취된 자금의 대부분을 가져가, 2025년 2월에 출시된 이 수익 관리 프로토콜의 자금 회수 작업을 더욱 복잡하게 만들었다.
블록체인 보안 회사 PeckShield는 UTC 기준 03:40:35에 이 익스플로잇을 처음 탐지했으며, 공격자는 탈취한 토큰을 두 개의 지갑으로 분산해 ETH로 변환했다. 이 지갑들은 현재 자산을 보유 중이다.
무엇이 일어났나
공격자는 2억8천만 USDC 규모의 플래시 론을 빌린 뒤, 이 중 1억7천만 USDC를 사용해 Dialectic USD와 Dialectic USDC 스테이블코인 풀의 가격을 결정하는 MachineShareOracle을 조작했다.
공격자는 풀 가격을 인위적으로 끌어올린 뒤, 조작된 풀을 상대로 1억1천만 USDC를 거래해 1,299 ETH를 빼낸 후 플래시 론을 상환했다.
PeckShield는 공격자가 가격 조작 취약점을 악용했다고 확인했으며, 공격자가 가격을 올리기 직전에 유동성을 추가하고, 이후 이익을 남기고 유동성을 회수하는 방식으로 움직였다고 설명했다.
하지만 0xa6c2로 시작하는 MEV 빌더 주소가 풀을 고갈시킨 트랜잭션을 선행 실행해, 탈취 금액 중 약 414만 달러를 선점했다.
함께 읽기: Japan Bond Yields Hit Multi-Decade Highs, Threatening Global Crypto Liquidity
현재 상황
탈취된 ETH는 현재 두 개의 이더리움 주소에 보관되어 있다. 지갑 0xbed2...dE25가 약 330만 달러, 지갑 0x573d...910e가 약 88만 달러를 보유 중이다.
Makina는 모든 스마트 볼트에 대해 보안 모드가 발동되었다고 알렸으며, DUSD Curve 풀 유동성 공급자들에게 남은 자금을 인출할 것을 권고했다.
플랫폼 측은 이번 익스플로잇이 Curve 상의 DUSD 유동성 공급자 포지션에만 영향을 미쳤으며, 다른 자산과 배포들은 영향을 받지 않았다고 확인했다.
PeckShield, ExVul, TenArmor 등 보안 업체들은 이용자들에게 스마트 컨트랙트 권한을 취소하고, 조사 완료 전까지 Makina 컨트랙트와의 상호작용을 피하라고 촉구했다.
디파이 보안 환경
보안이 개선되었음에도 플래시 론 익스플로잇은 여전히 빈번하다. 탈중앙 거래소 Bunni는 2025년 10월 840만 달러를, Shibarium은 9월에 240만 달러 규모의 공격을 각각 당했다.
그러나 Chainalysis 데이터에 따르면, 2025년 내내 디파이 해킹 손실은 억제된 수준을 유지했다. 총 예치 자산(TVL)은 1,190억 달러에 이르렀지만, 역사적으로 자본 유입이 공격 증가와 동행했던 양상과는 다른 흐름을 보였다.
2025년 전체 암호화폐 도난 규모는 34억 달러에 이르렀으나, 공격의 초점은 디파이 프로토콜보다 중앙화 거래소와 개인 지갑으로 옮겨졌다.
다음 읽기: Russian Lawmakers Propose Harsh Mining Penalties: Individuals Face $1,500 Fines, Companies $100K+