Curve 위기 앞에서 무대응 전략만이 정답일까? DeFi 마이닝 관점에서 본 대응 전략
작자: Luke (DeFi 애호가, Cobo Argus 제품 책임자)
최근 DeFi 세계는 Curve 프로토콜이 겪은 최신 공격으로 인해 위기 상황에 놓여 있다. 7월 30일 공격 발생 이후 CRV 가격은 0.74 USDT에서 0.5 USDT 이하로 폭락했으며, 오늘 다소 반등하여 현재 0.6 USDT 이상에서 안정화되고 있다. 이번 공격이 구버전 이더리움 프로그래밍 언어 Vyper의 버그로 인한 것임이 확인되었지만, Curve가 직면한 위기는 여전히 해소되지 않았다.
Curve 창시자가 보유한 대량의 CRV를 체인 상에서 담보로 대출을 받았기 때문에, 가격이 추가 하락할 경우 대규모 CRV 강제 청산이 발생하며 연쇄적인 청산 사태로 이어져 CRV 가격이 제로로 떨어질 가능성도 배제할 수 없다. Curve는 DeFi 분야에서 규모가 가장 큰 프로토콜 중 하나로서, 이번 위기는 DeFi의 보안성과 신뢰성에 또 한 번 중대한 타격을 주었으며, 향후 DeFi 발전에도 여러 부정적 영향을 미칠 수 있다.
본 필자는 DeFi 마이닝에 참여하는 채굴자의 관점에서, 일상적인 DeFi 마이닝 시 유사한 잠재적 리스크를 어떻게 예방할 수 있는지, 그리고 어떤 실현 가능한 솔루션과 도구를 활용할 수 있는지를 살펴보고자 한다.
사건 개요
먼저 시간 순서에 따라 Curve 위기가 발생한 과정을 간략히 되짚어보겠다.
7월 30일 21:34, Curve의 pETH-ETH 풀이 공격을 당했고, pETH 가격은 $383까지 하락했다. 22:50, Curve의 msETH-ETH 풀이 공격받았다. 23:34, alETH-ETH 풀 또한 공격을 당했다.
7월 31일 0:44, 이더리움 프로그래밍 언어 Vyper는 트위터를 통해 Vyper 0.2.15, 0.2.16 및 0.3.0 버전에서 재진입(reentrancy) 잠금 기능이 실패했다고 발표했다.
0:45, Curve는 재진입 잠금 결함으로 인해 Vyper 0.2.15를 사용한 스테이블코인 풀(alETH/msETH/pETH)이 공격을 당했으며, 다른 풀들은 안전하다고 밝혔다.
3:08, CRV-ETH 풀이 공격을 당했고, 체인 상 CRV 가격은 최저 0.08 수준까지 급락했다.
16:41, Curve는 Arb 상 Tricrypto 풀의 유동성을 제거할 것을 권고했다. 실제로 공격을 당하지는 않았지만, 해당 풀도 위험에 노출될 수 있다고 판단된 것이다.
Curve 공격 사건으로 인해 체인 상에서 다수의 비정상적인 사건이 발생했으며, CRV 가격이 폭락하고 mich의 담보 포지션이 정리될 수 있다는 공포감이 확산되면서 Aave에서 유동성이 인출되었고, USDC와 USDT의 금리가 비정상적으로 급등했다. DeFi 세계는 일련의 연쇄적 위기에 휘말리고 있다.
원인 분석
이번 보안 사고의 특이점은 스마트 계약 언어 수준의 버그로 인해 일부 유명 프로젝트들의 재진입 방지 메커니즘이 무력화되었다는 점이다. 다행스럽게도 문제가 생긴 것이 Solidity가 아닌 Vyper였기 때문에 전체 DeFi 생태계가 붕괴되는 최악의 상황은 피할 수 있었다.
DeFi는 낮은 거래비용과 높은 조합성(composability), 전통 금융보다 높은 수익률로 인해 많은 사용자들을 끌어들였지만, 지갑 보안과 스마트 계약 보안은 여전히 DeFi 위에 매달린 다마스커스의 검처럼 존재한다.
Euler, Curve 등 오랫동안 검증된 대표적인 프로토콜들이 연이어 문제를 겪으면서 많은 DeFi 신봉자들이 신뢰를 잃기 시작했다. 프로토콜에 문제가 생기면 종종 원금 전체를 손실하게 되며, 스마트 계약 리스크 외에도 피싱, 개인키 유출 등의 위험이 상존한다. DeFi 참여 시 보안과 효율성을 동시에 달성하는 것은 여전히 산업 전체가 고민하는 난제이다.
Cobo 팀은 오랫동안 DeFi 분야에서 활발히 활동하며 보안을 중요시해왔다. 내부적으로 다양한 DeFi 보안 문제에 대응하기 위한 자체 해결책을 마련해왔으며, 이를 제품화해 외부에 공개한 것이 바로 DeFi 시나리오를 위한 솔루션인 Cobo Argus이다. 새 버전 출시 후 짧은 시간 내에 TVL(총 잠금 자산) 1억 달러를 달성했다.
대응 전략
어제 Curve에서 발생한 사건과 같은 위험에 대해 사전 예방은 거의 불가능하다. 일반적인 DeFi 마이너들은 문제를 조기에 발견하고 신속히 대응할 수 있는지 여부에 달려 있으며, 이때 Cobo Argus와 같은 도구를 잘 활용하면 매우 큰 도움이 된다. Cobo Argus가 제공하는 철수 로봇(retreat bot) 기능은 체인 상의 리스크 지표를 모니터링하여 이상이 감지되면 즉시 사용자의 자산을 회수하도록 도와준다.
이제 Curve의 상황을 바탕으로 Cobo Argus에서 철수 로봇을 어떻게 활용할 수 있는지 구체적으로 분석해보겠다.
Curve의 관련 풀에 문제가 발생했을 때 나타나는 두 가지 명확한 신호가 있다:
1. 연결 자산(pegged asset)의 심각한 디페깅(탈피)
2. 해커 공격과 대규모 유출로 인한 TVL의 급격한 감소
Cobo Argus를 사용하면 이러한 두 가지 모니터링 지표를 설정할 수 있다. LP 풀 내 특정 토큰의 비중과 사용자가 투입한 원금이 LP 풀 전체 자금 대비 어느 정도인지 비교하여 모니터링할 수 있다. 이를 통해 이상 징후를 즉시 감지하고 로봇이 자동으로 원금을 회수하게 할 수 있다.
일반적으로 대부분의 사용자는 화이트햇 해커들이 트위터에서 위험 경고를 올릴 때까지 DeFi 프로토콜의 리스크를 알지 못하며, 이때쯤에는 공격 발생 후 이미 몇 시간이 지난 후라 원금을 구제할 기회조차 없을 수 있다.
반면, 로봇을 통해 체인 상 리스크 지표를 모니터링하면 위험 신호 감지 즉시 자동으로 철수함으로써 사용자의 자산을 매우 효과적으로 보호할 수 있다.
해킹 공격, 토큰 디페깅, 담보 대출 프로토콜의 대량 인출 등 각종 체인 상 리스크 사건들은 특정 지표들을 통해 모니터링할 수 있다. Cobo Argus는 사용자가 직접 모니터링 지표와 로봇 트리거 후 실행할 스마트 계약 호출을 커스터마이징할 수 있도록 허용한다.
DeFi에 대한 이해도가 높은 전문 사용자라면 자신만의 모니터링 값과 로봇 동작을 설정하여 이론상 모든 DeFi 프로토콜에 적용할 수 있다. 최근 Cobo Argus 커뮤니티에서는 사용자가 커스텀 로봇을 통해 대출 프로토콜에서 자신의 자산을 성공적으로 구출한 사례도 있었다.
이 모든 기능은 탈중앙화되고 신뢰할 필요 없는 구조를 갖추고 있다. 로봇은 Cobo가 운영하지만, 사용자가 승인한 DeFi 작업만 수행할 수 있으며 권한을 초과하거나 자산을 이전할 수 없다. 모든 승인 정보는 업그레이드 불가능한 스마트 계약에 기록되며, 코드와 승인 기록은 체인 상에서 완전히 투명하게 공개되어 누구나 감사를 수행할 수 있다.
참고로, Cobo Argus의 스마트 계약은 Safe{Wallet}의 Plugin 기능을 기반으로 개발되었다. Safe{Wallet}은 이더리움 생태계에서 가장 크고, TVL이 가장 높으며, 가장 안전하다고 인정받는 멀티시그 지갑으로, 대부분의 DeFi 프로토콜들이 국고를 관리하기 위해 Safe{Wallet}을 사용한다. Plugin은 Safe{Wallet}이 새롭게 도입한 기능으로, 제3자 개발자들이 플러그인을 작성하여 Safe{Wallet}의 기능을 확장할 수 있게 해준다.
Cobo는 Safe{Wallet} 팀과 긴밀한 협력을 유지해왔으며, Plugin 기능 출시 초기부터 Cobo Argus를 개발하였다. Safe{Wallet}을 기반으로 DeFi 시나리오에 특화된 일련의 솔루션을 제공하고 있다:
-
DeFi 권한 부여: 특정 DeFi 프로토콜 작업 권한을 특정 지갑 단일 서명으로 실행할 수 있도록 위임할 수 있다. Safe{Wallet}과 하드웨어 지갑을 사용하면 보안성은 높지만, 사용 과정이 비효율적이고 번거로워 DeFi 거래를 자주 하는 사용자에게는 적합하지 않다. 특히 DeFi 프로토콜의 문제가 발생했을 때 이러한 비효율성은 치명적일 수 있다.
특정 권한을 특정 주소에 위임하면 효율성이 높아지지만 보안성은 저하되지 않는다. 왜냐하면 해당 주소는 승인된 특정 작업만 수행할 수 있을 뿐, 권한을 초과하거나 자금을 이전할 수 없기 때문이다.
Cobo Argus의 권한 부여 기능을 통해 피싱으로 인한 오작동, 핫월렛 개인키 유출로 인한 전액 손실, 내부 인력의 악용 등으로부터 자산을 보호할 수 있다.
-
DeFi 로봇: Cobo Argus는 DeFi 권한 부여 기능을 기반으로 로봇 기능을 제공하여, 특정 DeFi 프로토콜 권한을 로봇에 위임하고 이를 통해 자동화된 작업을 수행할 수 있다. 예를 들어 보상 자동 수령, 자동 매도 및 재투자, 자동 철수 등을 지원한다.
현재 Cobo Argus는 다수의 DeFi 자산운용 팀과 개인 DeFi 웨일(대형 투자자)들이 사용하고 있으며, DeFi 운영 효율성을 높이는 동시에 자산 보안도 강화하고 있다. 최근에는 Solv, izumi 등 프로젝트들도 Cobo Argus를 기반으로 분권화 및 보안 도구로 도입했다. 앞으로도 Cobo는 지속적으로 혁신을 추구하며 일반 사용자와 개발자들을 보호하고 산업의 발전을 이끌어갈 계획이다.
마지막으로, 장기적으로 볼 때 DeFi는 여전히 무한한 잠재력을 가지고 있지만, DeFi에서 마이닝을 하는 것은 언제나 잠재적 위험을 수반한다. 모두 각별한 주의를 기울여 참여해야 한다. "일을 잘하려는 자는 먼저 도구를 가다듬어야 한다"는 말처럼, DeFi 마이너들은 경계심을 갖고 경험을 축적하는 동시에 적절한 도구를 활용하여 다양한 위험에 최대한 대비해야 할 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@0xLukeCrypto
