리퀴드 스테이킹 토큰 집합 상품 노린 공격
약 300만달러(약 44억원) 규모 ETH 이동
리스크 예치 프로토콜 연파이낸스(YFI)의 이더리움 기반 상품 yETH에서 리퀴드 스테이킹 토큰(LST) 수백만달러 규모가 빠져나간 정황이 나타났다. yETH는 여러 인기 LST를 하나의 토큰으로 묶는 구조다.
1일 해커는 yETH를 사실상 무한 발행하는 방식으로 풀 유동성을 한 번에 인출한 것으로 파악된다. 이 과정에서 1000 ETH가 토네이도 캐시로 전송했고, 이는 약 300만달러(약 44억원)에 해당한다. yETH 풀 규모는 공격 전 약 1100만달러(약 161억원) 수준이었다.
해킹 공격에는 새로 배포된 스마트계약 여러 개가 관련된 것으로 나타났으며, 정확한 손실 규모는 아직 명확하지 않다.
연파이낸스 측은 X에 “yETH LST 스테이블스왑 풀과 관련한 사고를 조사 중이며, 볼트 V2와 V3는 영향이 없다”고 밝혔다.
연파이낸스는 2021년 yDAI 볼트에서 해킹이 발생한 전례가 있으며, 안드레 크로녜가 2020년 창립 후 2년 뒤 프로젝트에서 물러난 바 있다.
