- 플래시 론 악용해 eDAI·dDAI 조작…법 집행·보안 전문가와 협력 대응 중
3월 14일, 이더리움 기반 대출 프로토콜 오일러 파이낸스에서 약 1억9,600만 달러(약 2,580억 원) 규모의 자산이 해킹으로 유출됐다. 이는 2023년 기준 최대 규모의 디파이(탈중앙화 금융) 해킹 사건으로 기록됐다.
공격자는 다이(DAI), 래핑된 비트코인(WBTC), 스테이킹된 이더리움(StETH), USD코인(USDC) 등을 네 차례에 걸쳐 탈취했으며, Aave와 Balancer에서 플래시 론으로 수천만 달러를 차입한 뒤, 오일러 파이낸스의 대출 구조를 조작해 공격을 감행했다.
보안 분석 업체 블록섹에 따르면, 해커는 오일러 파이낸스의 eToken(보안 토큰)과 dToken(부채 토큰) 시스템을 활용해 담보 없이도 과도한 대출이 가능하도록 구조를 왜곡시켰다. 이로 인해 예치금의 최대 10배 이상 자산을 끌어낼 수 있었으며, 최종적으로 1억9,560만 eDAI와 2억 dDAI를 확보한 것으로 나타났다.
온체인 데이터 분석 결과, 해커는 실제로 약 1억9,600만 달러 규모의 자산을 외부로 이동시킨 것으로 확인됐다.
오일러 파이낸스는 사건 발생 직후, “보안 전문가 및 법 집행 기관과 협력하고 있으며 사용자 피해 복구 방안을 강구 중”이라고 밝혔다.
오일러 파이낸스는 지난해 FTX, 코인베이스, 점프, 제인 스트리트, 유니스왑 등으로부터 약 3,200만 달러 규모 투자를 유치한 바 있다. 특히 유동성 스테이킹 파생상품(LSD) 분야에서 스테이킹 자산의 유동성을 극대화하는 시스템으로 주목받아 왔다. 해당 시장은 디파이 내 고정 자산의 약 20%를 차지하고 있다.
이번 사건은 플래시 론 기반의 구조적 공격 방식의 위험성을 다시금 부각시킨 사례로, 디파이 전반에 걸친 보안 재점검의 필요성이 제기되고 있다.
