Curve 사건을 돌아보며: 탈중앙화 금융(DeFi)은 어떻게 붕괴 직전에서 회복할 수 있었을까?
글쓴이: DEFI DAVE
번역: TechFlow
뱀은 인류 집단 무의식 속에서 특별한 위치를 차지하고 있다. 뱀은 전환과 재생, 불멸, 치유를 상징한다. 이번 주, DeFi는 마치 자신만의 재탄생을 경험했다고 할 수 있다. Vyper 프로그래밍 언어 컴파일러 내부에 침투한 독성 0-day 버그가 전체 스택과 시장에 연쇄적인 파장을 일으키며 숏세일러들에게 군침을 돌게 했다.
DeFi의 핵심 축 중 하나인 Curve Finance는 이 사건의 중심에 있었다. 이 사태는 지금까지 가장 어려운 도전에 직면하게 된 프로토콜에게 예외 없는 조치를 통해 잠재적 취약점으로 인한 피해를 최소화해야 하는 상황을 초래했다. 체인 상에서는 화이트햇들이 해커들과 격렬히 맞섰다. 화이트햇들은 손실을 회복하려 했으며, 해커들은 수백만 달러 규모의 유동성을 인출하려 했다. 한편, Curve 창시자 마이클 에고로프(Michael Egorov)를 비롯한 개발자들은 최전선에서 버티며, 그들의 긴밀한 협력자인 Frax의 새로운 인센티브 메커니즘과 일부 동맹자들과의 장외 거래(OTC)를 활용해 마치 CRV 토큰이 붕괴의 나선에 빠지는 것을 막아낸 듯 보였다.
모든 위기와 마찬가지로, 이 프로토콜들은 가장 불리한 조건 하에서 스트레스 테스트를 받았다. 살아남은 자들은 더욱 강해졌고, 그렇지 못한 자들은 소멸할 뿐이다. 수백억 달러가 어디론가 사라지는 것에 대해 DeFi는 낯설지 않다. 작년 테라 루나 사태처럼 말이다. 비록 우리는 프로토콜에 대해 이야기하지만, 결국 그것들은 인간으로 구성되어 있다. 이러한 어려운 순간, 우리는 모두가 목격할 수 있도록 공동체가 단결하는 모습을 보았으며, 성공하거나 도태되는 선택의 기로에 섰다.
전쟁의 연기가 마침내 걷히고 나서야 우리는 무엇이 일어났는지, 왜 그랬는지, 그리고 이것이 탈중앙화 금융의 미래에 어떤 의미를 가지는지를 생각해볼 수 있게 되었다. 의심의 여지 없이, 최악의 상황 대부분은 지나갔지만 자기반성은 반드시 필요하다.
(잊혀진) 기계 속의 유령
Vyper는 2017년 출시된 이더리움 가상 머신(EVM)용 프로그래밍 언어다. 솔리디티(Solidity)만큼 대중적이지는 않지만, Vyper는 EVM에 더 많은 언어 다양성을 제공하며, 단일 문화를 피하기 위해 매우 중요하다. 만약 단 하나의 언어만 존재했다면 상황이 얼마나 더 악화되었을지조차 감히 상상할 수 없다. 어쨌든 Curve는 자신의 스마트 계약을 만들고 배포하는 데 Vyper를 사용한다. 실제로 지난해 커브 커뮤니티는 Vyper 개발을 후원하기 위한 공급업체 평가를 승인함으로써 그 중요성을 강조하기도 했다.
이 취약점은 궁극적으로 컴파일러 감사를 위한 인센티브 문제로 귀결된다. 컴파일러란 인간이 작성한 컴퓨터 언어를 기계가 읽을 수 있는 코드로 변환하는 신비한 소프트웨어 장치다. 컴파일러는 종종 안전하다고 잘못 인식되는 스택 영역에 위치해 있어, 스마트 계약 수준의 감사자들이 주요 관심을 두지 않는 부분이다. 게다가 Vyper는 솔리디티보다 구조상 더 읽기 쉬워서 버그를 찾기도 더 쉽다. Vyper가 해킹당한 이후 며칠 동안 커뮤니티 회원들은 반복적으로 호소하며, 유사한 취약점이 다시 발생하지 않도록 적절한 인센티브를 창출할 것을 촉구했다.
그러나 해커들에게 동기는 명확하다. 점점 더 줄어드는 취약한 프로토콜의 현상금을 찾아, 그들은 가상 머신 깊숙이 들어간다. 몇 년간 계속된 불장에서 이름 없는 프로젝트들도 수억 달러의 TVL(총 가치 잠금)을 기록하며 매력적인 표적이 되었다. 기회가 줄어들면서 정교한 운영자들은 혁신을 모색할 수밖에 없었고, 결국 자주 잊히는 곳인 컴파일러로 향하게 된 것이다.
이 취약점이 얼마나 오랫동안 방치되었는지 감을 잡기 위해 말하자면, 이 결함은 2021년부터 존재했으며, 최근 버전인 Vyper 0.3.1에서 우연히 수정되었다. 그러나 네이티브 ETH를 포함하고 있고 버전 0.2.15, 0.2.16, 0.3.0으로 작성된 유동성 풀 계약들은 여전히 운영 중이었다. 첫 번째 공격은 주말에 발생했고, 모든 것이 끝났을 때 6900만 달러 상당의 자산이 훔쳐졌다. 가장 심각한 피해를 입은 풀은 JPEG'd, Alchemix, Metronome, 심지어 Curve 자체의 유동성 풀이었다.
취약점에 직면했을 때 시간은 결정적이며, 프라이버시 또한 중요하다. 위기 상황에서 화이트햇들은 해결책을 찾기 위해 단결한다. 0xc0ffeebabe처럼 수백만 달러의 자금을 회수하는 데 기여한 영웅들이 등장한다. 불행하게도 모두가 같은 편은 아니다. OtterSec의 감사자 로버트 첸(Robert Chen)이 말했듯이: "감사자들은 그들의 보고서로 인해 발생하는 외부 효과에 대해 비용을 부담하지 않는다. 오히려 좋아요, 리트윗, 홍보를 통해 보상을 받는다." 여기서 우리는 다시 한번 인센티브의 역할을 본다. 해커들이 남은 잔여물을 찾는 것보다, 감사자들이 자금 회복보다 리트윗을 더 우선시하는 구조다.
상어들이 노리는 CRV
CRV는 Curve 프로토콜과 밀접하게 연결된 거버넌스 토큰이다. 그 중요성은 깊은 유동성을 유도하는 행동에 있다. 자신의 CRV를 veCRV로 잠그는 사람들은 LP에게 제공되는 보상 방향에 투표할 수 있다. 이 개척적인 모델은 복잡한 투표 인센티브 생태계의 기반을 마련했으며, Curve가 '유동성 블랙홀'이라는 별명을 얻는 데 기여했다.
Vyper 취약점의 가장 큰 영향을 받은 풀 중 하나는 체인 상에서 CRV의 주요 유동성 공급원인 Curve의 CRV/ETH 페어였다. 이는 마이클에게 문제가 되었는데, 그는 다양한 대출 프로토콜(Fraxlend, AAVE, Abracadabra 등)에서 자신의 CRV를 크게 담보로 잡고 있었기 때문이다. 만약 그가 정리되면 CRV는 제로에 가까워질 것이며, Curve가 구축한 전체 인센티브 구조는 혼란에 빠질 것이다.
마이클은 대출 포지션 관리에 낯설지 않다. 사실 Curve Cap의 데이터에 따르면, 마이클은 2018년 이래 체인 상의 머니 마켓을 활용해 왔으며 단 한 번도 정리된 적이 없다. 바로 대출 프로토콜과의 상호작용을 통해 마이클은 안정코인 간의 원활한 교환을 위한 Curve를 구축하게 되었고, 이는 이후 crvUSD를 배포하여 보다 온화한 정리 메커니즘을 제공하도록 이끌었다. 이제 상어들이 그의 유동성 담보 포지션 주위를 맴돌고 있으며, CRV 포지션이 산산조각 나기 전에 이를 방지하기 위해 마이클은 자신이 가장 잘하는 일을 하기로 했다.
모든 대출 프로토콜 중에서 우선시해야 할 것은 Fraxlend 포지션이었다. 마이클은 Fraxlend에 1700만 달러 대출을 받았으며, 담보는 2400만 달러였고, 해당 페어의 이용률은 거의 100%에 달했다. Fraxlend는 이용률이 최대치에 도달하면(100%에 도달하면) 자동으로 금리를 2배로 늘리고, 12시간마다 다시 2배로 증가하도록 설계되어 있다. 이를 방치할 경우, 해당 페어의 연이율은 수천 %에 달하게 되며, 분명 정리될 것이다.
마이클은 전례 없는 조치를 취했다. 그는 fFRAX(즉 Fraxlend의 CRV 페어에서 FRAX의 영수증 토큰)를 통해 유동성을 제공하는 사람들에게 보상하는 독특한 게이지를 만들었다. 이 게이지의 목적은 FRAX를 빌려줘 CRV/FRAX의 이용률을 낮추도록 유도하는 것이다. Frax 부채의 2차 시장으로서, 이 인센티브 메커니즘은 앞으로 다른 흥미로운 용도로도 활용될 수 있다.
인센티브 외에도 더욱 강력한 것은 극한 상황에서도 믿고 의지할 수 있는 견고한 관계, 즉 동맹이다. 암호화폐 업계의 OG들과 현직 영향력 있는 인물들이 지원을 보내왔고, 우지헌(Jihan Wu)조차 트윗을 통해 매수하겠다고 밝혔다. 그가 fFRAX/crvUSD 인센티브 게이지를 발표한 지 몇 시간 만에, 수백만 CRV가 저스틴 선(Justin Sun), DCF God, CT2P 및 알려지지 않은 익명의 구매자들에게 장외 거래로 판매되었다. 이러한 매각 소식이 공개되기 시작하자마자 CRV 가격은 회복되었고, 수백만 달러 규모의 숏 포지션들이 정리되었다. 장외 거래가 계속 진행되는 가운데, CRV와 Curve는 마침내 위기를 넘긴 듯 보인다.
결론
가장 급박한 위험은 거의 지나갔고, 대출 포지션을 안전하게 관리하는 일만 남았다. 이런 일련의 격동적인 사건들로부터 우리는 무엇을 배울 수 있을까? 첫째, "DeFi는 죽었다"고 말하는 사람들은 틀렸다. 오히려 그 어느 때보다 강해졌다.
이 위기가 전통 금융의 불투명한 세계에서 발생했다면, 우리는 아마도 몇 년 후에야 전체 세부 사항을 알 수 있었을 것이다. 하지만 이 이야기는 체인 위에 기록되었기에 누구나 볼 수 있었고, 우리는 각각의 트랜잭션을 따라가며 무슨 일이 있었는지를 분석할 수 있었다. 이처럼 전례 없는 투명성 덕분에 우리는 하나씩 빌딩 블록을 따라가며 대출 프로토콜과 유동성 풀의 건강 상태를 모니터링하고, 특정 조치가 왜 취해졌는지를 이해할 수 있다.
그러나 우리는 기억해야 한다. 비록 DeFi가 기회를 평등하게 만들고 참여 장벽을 낮췄다고 해도, 결과가 평등하다는 의미는 아니다. 인센티브는 감정을 고려하지 않는다. 가치를 더 많이 축적하는 것만을 고려한다. 해킹으로 인한 통화 가치든, 회복 작업 조직으로 얻는 사회적 지위든, 대출 프로토콜의 파라미터 추천 동기든, 혹은 차용인 상환 뒤에 숨은 경제 게임 이론이든, 지난 일주일간 일어난 모든 행위는 냉혹한 인센티브의 결과였다.
만약 DeFi가 진정으로 전통 금융 수준에 도달하려 한다면, 특히 더 큰 가치가 위험에 처할수록, 인센티브 중심 세상의 현실과 맞서 싸우고 그에 맞춰 구축해야 한다. 이것이 바로 사토시 나카모토의 사고방식이며, 우리가 번영하기 위해서는 똑같이 행동해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@FlywheelDeFi
