공격자는 StakeDAO에서 손상된 배포자 키를 악용해 Arbitrum 네트워크에서 5조 4천억 개의 vsdCRV 토큰을 발행했습니다. 그러나 낮은 유동성으로 인해 얻은 수익은 고작 9만 1천 달러에 불과했습니다. 최근 발생한 이 사건은 도난당한 개인키가 공격자에게 거의 완전한 통제권을 부여한 일련의 DeFi 해킹 중 최신 사례입니다.
익스플로잇: 단일 키, 대규모 발행
공격자는 StakeDAO의 스마트 계약 시스템 내에서 상승된 권한을 가진 개인키인 배포자 키에 접근했습니다. 해당 키를 사용해 Curve DAO의 CRV에 연동된 스테이블코인 유사 토큰인 vsdCRV 5조 4천억 개의 발행을 승인했습니다. 이론상으로 발행량은 천문학적이었습니다. 그러나 실제로 그 엄청난 양의 토큰을 현금화하는 것은 거의 불가능했습니다.
StakeDAO는 Curve Finance를 기반으로 구축된 수익 최적화 프로토콜입니다. vsdCRV 토큰은 Curve의 유동성 풀에 스테이킹된 포지션을 나타냅니다. 공격자는 수조 개의 토큰을 발행함으로써 자연적인 구매자가 없는 토큰 더미를 사실상 만들어냈습니다.
공격자가 푼돈만 챙긴 이유
Arbitrum에서 vsdCRV의 유동성은 얕습니다. 공격자가 발행된 토큰의 일부라도 USDC나 ETH 같은 더 유동적인 자산으로 스왑하려고 시도했을 때 가격이 폭락했습니다. 실제로 추출한 금액인 총 실현 이익은 시장이 재평가되거나 익스플로잇이 감지되기 전에 겨우 9만 1천 달러에 그쳤습니다.
발행 규모 대비 이 작은 수익은 양방향으로 작용하는 취약점을 부각합니다. 낮은 유동성은 프로토콜을 대규모 즉시 인출로부터 보호하지만, 동시에 합법적인 사용자도 슬리피지와 제한된 출구 옵션에 직면하게 됩니다.
StakeDAO는 도난당한 9만 1천 달러가 회수되었는지 또는 프로토콜이 피해 사용자에게 보상할 계획인지 공개적으로 밝히지 않았습니다. 회사는 간략한 성명을 통해 손상된 배포자 키가 폐기되었다고 밝혔지만, 키가 처음 어떻게 손상되었는지에 대한 세부 사항은 여전히 불분명합니다.
손상된 키: 반복되는 DeFi 골칫거리
이는 고립된 사례가 아닙니다. DeFi 생태계 전반에 걸쳐 공격자들은 배포자 키부터 관리자 멀티시그까지 손상된 개인키를 반복적으로 악용해 프로토콜을 고갈시켰습니다. 2024년에만 여러 주요 해킹이 동일한 패턴을 따랐습니다. 단 하나의 유출된 키가 공격자에게 계약을 발행, 인출 또는 일시 중지할 수 있는 권한을 부여했습니다.
문제는 구조적입니다. DeFi 프로토콜은 업그레이드 및 비상 기능을 관리하기 위해 소수의 권한 있는 키에 의존하는 경우가 많습니다. 이러한 키가 강력한 보안 없이 핫월렛, 개발자 노트북 또는 클라우드 인프라에 저장되어 있으면 단일 장애 지점이 됩니다.
보안 기업들은 위험을 줄이기 위해 하드웨어 기반 서명, 다자간 연산 및 타임락을 오랫동안 권장해 왔습니다. 그러나 많은 프로토콜이 여전히 피싱 이메일 한 통이나 손상된 장치 하나로 도난당할 수 있는 키를 사용하여 운영됩니다.
StakeDAO 공격자의 제한된 이익은 냉담한 위안을 제공할 수 있습니다. 더 넓은 질문인 '권한 있는 키 관리를 무적 상태로 만드는 방법'은 여전히 답이 없는 상태입니다. 업계가 확장 가능한 솔루션을 찾을 때까지 다음 손상된 배포자 키는 훨씬 더 큰 수익을 가져올 수 있습니다.
