- 플래시 론 악용해 eDAI·dDAI 조작…법 집행·보안 전문가와 협력 대응 중
3월 14일, 이더리움 기반 비구금 대출 프로토콜인 오일러 파이낸스(Euler Finance)가 약 1억9,600만 달러(약 2,580억 원) 규모의 대규모 해킹 피해를 입었다고 알려졌다. 이번 사건은 2023년 최대 규모의 탈중앙화 금융(디파이) 해킹으로 기록됐다.
공격자는 플래시 론(Flash Loan)을 활용해 다이(DAI), 래핑된 비트코인(WBTC), 스테이킹된 이더리움(StETH), USD코인(USDC) 등 다양한 자산을 네 차례에 걸쳐 탈취했다.
공격 방식: eToken·dToken 구조 악용
보안 감사 기업 블록섹(BlockSec)에 따르면, 공격자는 디파이 플랫폼 Aave와 Balancer를 통해 수천만 달러 상당의 플래시 론을 빌린 뒤, 오일런 파이낸스 내에서 대출 구조를 조작했다.
해커는 오일런 파이낸스의 eToken(보안 토큰)과 dToken(부채 토큰) 시스템을 악용해, 실제보다 적은 담보로도 대규모 대출이 가능한 상태를 만들었다. 이로 인해 예치금 대비 최대 10배 이상의 자산을 빌려내는 데 성공했으며, 이를 통해 총 1억9,560만 eDAI 및 2억 dDAI를 확보했다.
온체인 데이터에 따르면, 해커는 약 1억9,600만 달러 상당의 자산을 탈취한 것으로 나타났다.
오일러 파이낸스 “보안 전문가와 협력 중”
오일러 파이낸스는 해당 취약점을 인정하고, “현재 법 집행 기관과 보안 전문가들과 협력해 사건 해결에 나서고 있다”고 밝혔다. 사용자 보호 및 피해 복구를 위한 방안도 모색 중이다.
오일러 파이낸스는 어떤 플랫폼인가?
오일러 파이낸스는 지난해 FTX, 코인베이스, 점프, 제인 스트리트, 유니스왑 등 주요 기관들로부터 약 3,200만 달러를 유치한 바 있으며, 유동성 스테이킹 파생상품(LSD) 분야에서 주목받아 왔다. 이 시스템은 이더리움 등 스테이킹된 자산의 유동성을 높여 수익을 극대화할 수 있도록 설계됐다.
디파이 생태계에서 LSD는 전체 고정 자산의 약 20%를 차지하고 있으며, 오일런 파이낸스는 이 분야의 핵심 플랫폼 중 하나로 평가받고 있다.
이번 해킹은 플래시 론을 활용한 구조적 공격의 대표 사례로, 디파이 보안 취약성에 대한 업계 전반의 대응이 요구되고 있다.
관련뉴스
