DeFi는 죽었는가? 체인링크가 커브(Curve) 창립자의 호주 별장을 구할까?
글: TechFlow 청소부
7월 30일, 또 한 번의 DeFi 공포의 밤이었다.
21:10, pETH-ETH 풀 공격 당함
22:50, msETH-ETH 풀 공격 당함
23:34, alETH-ETH 풀 공격 당함
03:08, CRV-ETH 풀 공격 당함
……
보안 기관 PeckShield에 따르면, 7월 31일 오전 7시 26분(북경시간) 기준 Curve Finance 스테이블코인 풀 해킹 사건으로 인해 Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis 및 CRV/ETH 풀에서 누적 약 5200만 달러의 손실이 발생했다.
DeFi 생태계의 초석인 Curve Finance의 이번 사태로 인해 많은 이들이 "DeFi는 끝났다"고 외쳤고, 신어(神鱼)는 트위터를 통해 "Winter is coming(겨울이 오고 있다)"라고 말했다.
사고의 원인은 어디에 있는가?
Curve Finance 팀에 따르면, 이번 사건은 이더리움 프로그래밍 언어 Vyper의 일부 버전에서 재귀 잠금(recursive lock) 오류가 발생했기 때문이며, Vyper 0.2.15를 사용하는 많은 스테이블코인 풀(alETH/msETH/pETH)이 공격을 받았고, crvUSD 컨트랙트 및 기타 풀은 영향을 받지 않았다.
Vyper는 2017년에 개발된 새로운 이더리움 스마트 컨트랙트 언어로, 그 이전까지 가장 널리 사용되던 언어는 Solidity였다. Vyper는 Solidity에 비해 이론적으로 더 간단하고 안전하다고 여겨지며, Uniswap v1, 최초의 ETH 2.0 예치 컨트랙트, 그리고 Curve Finance 등이 Vyper로 작성된 대표적인 프로젝트들이다.
현재 Vyper의 새 버전에서는 해당 취약점이 수정되었지만, 공격을 당한 Curve 풀들의 컨트랙트는 업그레이드가 불가능한 상태다.
따라서 진짜 원흉은 Curve 자체라기보다는 저수준 프로그래밍 언어인 Vyper였으며, 이 사실을 알게 된 많은 이들이 일단 안도했지만, 곧바로 다시 긴장하게 되었다. "앱의 문제보다도 저수준 언어의 결함이야말로 더욱 끔찍하기 때문"이다!
암호화폐 KOL인 CM은 트위터를 통해 "Curve 해킹은 Vyper의 기술적 문제로 인한 것으로, 일종의 근본적인 타격이다. 이건 더 이상 프로토콜 자체나 스마트 컨트랙트 설계의 문제가 아니라, 만약 Solidity 역시 동일한 문제가 발생할 가능성이라도 있다면, 모든 블록체인 상의 애플리케이션은 안전을 장담할 수 없다. 그래서 당신들이 'DeFi가 사라졌다'고 말하는 게 충분히 슬프지 않다. 더 슬픈 건 '블록체인이 사라진다면'이다."라고 지적했다.
오늘날 이더리움 EVM이 절대적인 지배력을 행사하는 가운데, 보안 문제는 모든 프로젝트 팀에게 머리 위를 위협하는 다마스커스의 검과 같다. Solidity는 탄생 초기부터 지금까지 무수한 보안 사고를 겪어왔다. 예를 들어 재진입 공격(reentrancy attack)은 이더리움이 ETH와 ETC(클래식)로 분기되는 결과를 낳기도 했다. 하지만 Solidity는 이미 개발자 도구와 개발자 생태계를 중심으로 견고한 벽을 구축했다.
메타마스크(Metamask)가 사용자 경험 측면에서 비판받고 있음에도 불구하고, 단지 더 나은 UX만으로는 메타마스크를 도전할 수 없듯이, 새로운 공개 블록체인들이 단지 '더 빠르고 안전하다'는 이야기만으로는 이더리움 EVM의 절대적 지배를 깨뜨릴 수 없다.
하지만 우리는 여전히 다양한 도전자들의 등장을 기대한다. 왜냐하면 그렇지 않으면 '비탈릭 마루카(Vitalik Buterin)만을 따르는 세상'은 너무 지루하기 때문이다.
CRV 가격이 15% 폭락한 가운데, 주목해야 할 또 다른 중요한 사건은 CRV 창시자 마이클 에고로프(Michael Egorov)의 각종 대출 프로토콜에서의 부채 상황이다.
해킹 사건 발생 후, 에고로프는 즉각 여러 대출 플랫폼에서 부분적으로 자금을 상환했으며, CRV 담보물을 추가로 예치했다.
암호화폐 리서처 0xLoki의 통계에 따르면, 현재 에고로프는 누적 2.92억 개 이상의 CRV(1.81억 달러)를 담보로 제공했으며, 1.1억 달러를 차입했다. 구체적으로는 다음과 같다:
1. AAVE에서 1.9억 CRV를 담보로 제공하고 6500만 달러를 차입, 정산 가격은 0.37달러;
2. FRAXlend에서 4600만 CRV를 담보로 제공하고 2100만 FRAX를 차입, 정산 가격은 0.4달러;
3. Abracadabra에 4000만 CRV를 예치하고 1800만 달러를 차입, 정산 가격은 0.39달러;
4. Inverse에 1600만 CRV를 예치하고 700만 달러를 차입, 정산 가격은 0.4달러.
체인 데이터에 따르면, CRV는 한때 0.08달러까지 추락했으나, 담보로 맡긴 CRV 중 어느 것도 정산되지 않았다. 그 이유는 AAVE가 Chainlink 오라클을 통해 가격 정보를 제공받기 때문이다.
구체적으로 설명하자면, Chainlink는 단일 체인 내 데이터를 사용하지 않고, 각 거래소(CEX/DEX)의 데이터를 거래량 가중 평균 가격(VWAP) 방식으로 집계하며, 거래량에 따라 비례적으로 가중치를 부여한다. 또한 데이터 집계기는 시장 깊이, 지연 시간, 스프레드 등의 거래소별 차이를 고려하고, 섬광 붕괴(flash crash), 세탁 거래(wash trading), 기타 이상 거래 등을 필터링하여 최종 집계된 데이터 포인트에 영향을 미치지 않도록 한다. 따라서 일시적인 체인상 이상 가격에도 불구하고 담보로 맡긴 CRV는 정산되지 않았다.
또한 AAVE V2의 공식 기술 문서에 따르면, 먼저 Chainlink의 가격을 호출하며, 만약 가격이 0 이하일 경우 자체적으로 유지하는 백업 오라클을 사용한다고 명시되어 있다. 다만 0.08달러가 이 조건에 해당하는지는 확실하지 않다.
어찌 됐든, Chainlink는 Curve를 구해냈을 뿐 아니라, 창시자 마이클의 호주 별장을 구해줬을지도 모른다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
