오랜 역사를 자랑하는 DeFi 프로토콜인 Yearn Finance가 해킹 공격의 표적이 되고 있는 가운데, 최근 약 30만 달러 규모의 손실이 발생한 새로운 공격이 기록되었습니다. 이는 오랜 역사를 가진 블록체인 프로젝트에 남아있는 구식 코드로 인한 잠재적 보안 위험에 대한 우려를 더욱 증폭시키고 있습니다. 초기 보고에 따르면 이번 공격은 실제 운영 중인 제품 자체에서 발생한 것이 아니라, Yearn Finance의 전신인 iearn이라는 이름으로 운영되던 2020년에 구현된 매우 오래된 스마트 계약에서 비롯된 것으로 추정됩니다.
특히 Yearn 팀은 프로토콜의 기존 볼트는 모두 영향을 받지 않았다고 확인했으며, 이는 Yearn의 핵심 제품에 자산을 예치한 사용자의 자산은 안전하다는 것을 의미합니다. 그러나 공격자는 기존 계약의 취약점을 악용하여 자금을 인출한 후 훔친 자산을 103 ETH로 신속하게 교환하여, 블록체인 상에서 자금 흐름을 숨기는 데 있어 매우 정교하고 빠른 수법을 사용했습니다.
이번 사건은 Yearn Finance가 yETH 풀과 관련된 심각한 공격을 받아 약 900만 달러의 손실을 입은 지 한 달도 채 되지 않아 발생했습니다. 프로젝트 팀은 여러 관계자와 협력하여 자산 추적 및 복구를 시도했지만, 현재까지 회수된 금액은 전체 손실액의 3분의 1에도 못 미치는 약 240만 달러에 불과합니다. 이러한 일련의 사건들은 DeFi 커뮤니티로 하여금 보안 표준 및 감사 프로세스가 지금처럼 발달하지 않았던 시장 초기 단계에 구현된 오래된 계약에 내재된 "시한폭탄"에 대해 의문을 제기하게 만들었습니다.
