지금까지 도난당한 총액은 1억 2,864만 달러이며, 공격은 아직도 진행 중이다.
작성자: 1912212.eth, Foresight News
11월 3일 오후, 기존 DeFi 프로토콜인 Balancer가 역사상 세 번째 대규모 보안 침해를 겪었습니다. 공격자들은 프로토콜의 핵심 스마트 컨트랙트를 조작하여 단 몇 시간 만에 Balancer의 금고에서 여러 유동성 풀에 저장된 1억 1천만 달러 상당의 암호화폐 자산을 공격자가 소유한 지갑으로 성공적으로 인출했습니다. 이 공격으로 인해 BAL(Bill of Materials) 가격은 약 0.9달러로 하락하여 24시간 동안 8.64% 하락했습니다.
Debunk의 데이터에 따르면 도난당한 자금에는 이더 생태계에서 9,985만 달러, 온체인 795만 달러, Base 생태계에서 394만 달러, Sonic에서 340만 달러, 온체인 156만 달러가 포함되었습니다.
오후 5시 41분 현재, SlowMist의 조사에 따르면 도난당한 총 금액은 1억 2,864만 달러였으며, 이 중 1억 2,860만 달러는 Berachain에서 도난당한 것입니다.
Berachain은 공식적으로 HONEY 민트 및 BEX 풀/볼트 기능 중단을 발표했습니다.
이처럼 엄청난 도난 사건이 발생하자 3년간 잠복해 있던 고래인 0x0090이 재빨리 조치를 취해 Balancer에서 자금을 클레임.
이 사고는 Balancer V2 아키텍처의 접근 제어 결함을 노출시켰을 뿐만 아니라, 이더 메인넷, Base, Polygon, Sonic을 포함한 여러 블록체인 네트워크에 영향을 미쳐 총 손실이 급격히 증가했습니다.
공격은 아직도 진행 중이다.
2020년에 설립되어 Balancer Labs에서 개발한 Balancer는 사용자가 맞춤형 유동성 풀을 생성하고 여러 자산에 대한 가중치 조정을 지원하는 자동 MM (Market Making)(AMM) 프로토콜입니다. Uniswap과 같은 단순한 AMM과 달리 Balancer는 더 높은 유연성과 자본 효율성을 염두에 두고 설계되었으며, 특히 버전 2에 Boosted Pools 및 Vault 시스템이 도입되어 수익률을 최적화하고 슬리피지(Slippage)를 줄이는 기능을 제공합니다. 지난 DeFi 붐 당시 Balancer의 TVL(총자산총액)은 32억 3,900만 달러로 최고치를 기록했습니다.
현재 이 계약의 TVL은 6억 7,844만 달러에 불과합니다.
분석 결과, 이 공격은 볼트 계약의 접근 제어 오류에서 비롯된 것으로 나타났습니다. 공격자는 플래시 대출 메커니즘을 악용하여 권한을 위조하고 부스팅 풀에서 자산을 클레임. 구체적으로, 공격자는 조작률 제공자를 통해 권한 확인을 우회하고 볼트에서 외부 주소 0xAa760D53541d8390074c61DEFeaba314675b8e3f로 자금을 직접 이체했습니다. 온체인 거래 해시(0xd155207261712c35fa3d472ed1e51bfcd816e616dd4f517fa5959836f5b48569)는 이 공격이 WETH, osETH, wstETH, frxETH, rsETH, rETH와 같은 ETH 파생상품을 포함하여 몇 분 안에 여러 건의 이체를 완료했음을 보여줍니다. 이 방법은 2022년 발생한 Nomad Bridge 접근 제어 취약점 등 과거 DeFi 공격과 유사하지만, Balancer의 멀티체인 배포로 인해 리스크 증폭되어 크로스 체인 손실이 발생했습니다.
이 공격은 Balancer의 과거 보안 문제로 거슬러 올라갈 수 있습니다. 이 프로토콜이 침해된 것은 이번이 처음이 아닙니다.
2021년 6월, Balancer는 스마트 계약 취약점으로 인해 50만 달러의 손실을 입었습니다.
2023년 8월에는 DNS 하이재킹 공격으로 인해 27만 달러가 추가로 손실되었습니다.
가장 최근의 소규모 취약점은 2025년 10월에 발생했으며, 요금 제공업체 조작과 관련이 있습니다.
이러한 사건들은 모두 프로토콜의 접근 제어 및 외부 종속성의 취약점을 시사합니다. 버전 2는 2021년 출시 이후 거의 5년 동안 운영되어 왔으며, 여러 차례의 감사, 퍼즈 테스트, 그리고 정식 검증을 거쳤지만, 여전히 취약점을 완벽하게 차단하는 데 실패했습니다.
현재 Balancer 팀은 V2 풀에 취약점이 있을 수 있다는 성명을 발표했으며, 엔지니어와 보안팀이 해당 사고를 조사하고 있습니다.
Foresight News에서는 사용자에게 즉시 자금을 인출하고, 승인(예: Revoke.cash)을 철회하고, 의심되는 피싱 링크를 피할 것을 권고합니다.
