[블록미디어 양원모 기자] 디파이 전략 실행 엔진 마키나 파이낸스에서 가격 오라클 조작을 이용한 해킹 공격이 발생해 약 500만달러(약 73억원) 규모의 자금이 유출됐다. 개발사 측은 공격 인지 직후 조사에 착수했으며, 신원 확인 절차를 거쳐 공격자와의 접촉을 시도하고 있다고 밝혔다.
마키나 파이낸스는 20일(현지시각) 디지털자산 보안업체 분석과 커뮤니티 보고를 통해 DUSD·USDC 커브 풀에서 비정상적인 자금 유출이 발생했음을 확인했다고 발표했다. 해당 사고는 탈중앙화금융(DeFi) 생태계에서 오라클 의존 구조의 취약성을 다시 드러낸 사례로 평가된다.
오라클 조작으로 커브 DUSD 풀 타격
이번 공격의 핵심은 대규모 플래시론(flash loan)을 활용한 가격 오라클 왜곡이다. 공격자는 약 2억8000만달러 규모의 USDC 플래시론을 동원해 마키나 파이낸스가 의존하던 머신셰어 오라클 가격을 인위적으로 조작한 것으로 분석됐다.
왜곡된 가격 정보가 반영되면서 커브(Curve) 상의 DUSD 유동성 풀이 비정상적인 상태에 놓였고, 이 과정에서 공격자가 풀 자산을 대거 인출할 수 있었던 것으로 파악된다. 보안업계는 오라클 데이터에 대한 방어 장치가 충분하지 않았던 점을 주요 원인으로 보고 있다.
디지털자산 보안업체 서틱은 이번 사고로 약 500만달러 상당의 피해가 발생한 것으로 추산했다. 고플러스 시큐리티는 손실 규모를 510만달러로 평가했으며, 펙실드는 1299이더리움(ETH), 약 410만달러 상당의 디지털자산이 탈취됐다고 분석했다. 다만 탈취 자산 가운데 약 414만달러는 MEV(Maximal Extractable Value) 빌더에 의해 중간에서 차단된 것으로 전해졌다.
DUSD 유동성만 영향… 다른 자산은 정상
마키나 파이낸스 개발팀은 “잠재적 보안 사고를 인지하고 즉시 조사에 착수했다”며 문제가 커브의 DUSD 유동성 공급자 포지션에 한정됐다고 설명했다. DUSD를 제외한 다른 자산 풀과 머신 토큰, 디파이 전략 금고는 영향을 받지 않았다는 입장이다.
팀은 추가 피해를 막기 위해 모든 머신을 세이프 모드로 전환했으며, DUSD 커브 풀에 유동성을 제공한 이용자들에게는 출금을 권고했다. 또 공격 직전 커브 DUSD 풀 상태를 스냅샷으로 확보했으며, 단일 거래로 DUSD를 전량 인출한 이용자는 없었다고 덧붙였다.
현재 마키나 파이낸스는 신원 확인 절차를 거쳐 공격자와의 접촉을 시도하고 있으며, 복구 모드 해제 시점과 출금 재개 방안을 함께 검토 중이다.
보안 패러다임 전환 필요성 제기
이번 사고를 계기로 디파이 업계 전반의 구조적 보안 한계도 다시 부각됐다. 박대준 a16z 크립토 선임 보안 연구원은 “프로토콜 코드에 불변 조건 검증과 같은 방어 장치를 직접 내장해야 한다”며 “정상 동작 규칙을 벗어나는 거래를 자동으로 되돌리는 구조가 공격을 실행 단계에서 차단하는 데 도움이 될 수 있다”고 말했다.
다만 이러한 접근에는 현실적인 제약도 따른다. 곤살루 마갈량이스 이뮤너파이 보안 총괄은 “추가 검증 로직은 가스 비용을 높여 이용자 이탈로 이어질 수 있다”고 지적했다. 어시메트릭 리서치 공동 창업자 펠릭스 빌헬름 역시 “모든 공격 시나리오를 포괄하는 불변 조건을 설계하는 것은 기술적으로 쉽지 않다”며 한계를 언급했다.
