지난주, 오래된 DeFi 프로젝트를 표적으로 삼은 세 건의 해킹 공격으로 약 5백만 달러가 도난당했습니다.
이번에 공격 대상이 된 세 프로젝트는 모두 2020년부터 2022년까지 DeFi 시장에서 잘 알려진 이름이었으며, 영향을 받는 계약들은 모두 버려진 프로젝트, 변경 불가능한 프로젝트, 또는 더 이상 유지 관리되지 않는 프로젝트에서 나온 것입니다.
이러한 유사성 때문에 일각에서는 기존 계약들이 인공지능을 이용한 집중적인 해킹 공격의 표적이 되고 있는 것은 아닌지 의문을 제기하고 있습니다.
리본 파이낸스(Ribbon Finance) , 회복 계획에 대해 입장 번복
지난 금요일, Aevo(구 리본 파이낸스(Ribbon Finance))는 "기존 Ribbon DOV 금고"에 대한 오라클 조작 해킹으로 270만 달러의 손실이 발생했다고 사용자들에게 알렸습니다. 해당 공지에서는 Aevo 사용자들에게는 영향이 없다고 안심시켰습니다.
이후 삭제된 후속 게시물에서 해당 팀은 자체 자금 40만 달러와 "휴면" 사용자 자산을 사용하여 피해를 입은 사람들에게 보상할 계획을 발표했습니다.
하지만 리본 팀은 며칠 후 논란이 된 계획을 철회하고, 해당 사용자들은 실제로 100% 손실을 입게 될 것이라고 해명했습니다.
자세히 보기: 캐시 우드, 오픈AI와 템푸스에 거액을 투자했음에도 불구하고 AI의 허점에 속아 넘어가다
파산한 Rari 자본 해킹당했습니다.
200만 달러 규모의 라리 자본 해킹 사건은 12월 10일에 발생했지만, 일주일이 지나서야 알려졌습니다.
공격자는 "계약 이행을 가로챈" 것으로 보이는 상황에서 " 아무런 담보도 제공하지 않고 " 자산을 빌릴 수 있었습니다.
자세히 보기: LLM 암호화폐 거래 경진대회 결과, LLM들은 암호화폐 거래가 불가능한 것으로 드러났습니다.
2021년과 2022년에 각각 1,500만 달러와 8,000만 달러 규모의 해킹 피해를 입은 후, 라리 자본( Rari Capital)은 운영을 중단했습니다. 디피 디파이라마(defillama) 데이터에 따르면, 라리 캐피털의 계약에는 여전히 약 270만 달러의 자금이 남아 있습니다.
해당 팀은 이후 2024년 9월 SEC와 "투자자를 오도하고 미등록 브로커 활동에 관여한" 혐의 및 미등록 증권 발행 혐의에 대해 합의했습니다.
Yearn Finance: 세 번째 시도는 성공!
화요일에 5년 전에 체결된 iEarn Finance(Yearn의 전신) 계약이 약 25만 달러 규모의 해킹 공격을 받았습니다.
익명성 Yearn 개발자 Banteg는 "잘못 구성된 어댑터"가 " 여러 DeFi 프로토콜에 걸쳐 연쇄적인 장애를 일으켰다"고 설명했습니다.
자세히 보기: DeFi 수익률 집계 플랫폼 Yearn, yUSND 볼트에서 발생한 9월 사건 공개
이번 해킹은 2023년 공격과 동일한 취약점을 악용한 것으로, 당시 공격으로 1,100만 달러의 손실이 발생했습니다. Yearn은 앞서 2021년에도 해킹을 당해 1,100만 달러의 피해를 입은 바 있습니다.
해킹 외에도 Yearn은 2023년에 운영상의 문제로 140만 달러의 손실을 입었는데, 이는 "상당한 슬리피지" 때문이었습니다.
지난달, 해당 팀은 금고 중 한 곳에서 오류가 발생했다고 밝혔으며, Yearn이 그 부족분을 메웠습니다.
인공지능이 지원하는 해킹 공격인가?
탈중앙화 금융(DeFi) 프로토콜에서 스마트 계약 해킹 발생률이 전반적으로 감소하는 추세임에도 불구하고 최근 해킹이 집중적으로 발생하고 있어 우려를 자아내고 있습니다.
보안 연구원(이자 전 Yearn 개발자)인 storm0x는 누군가가 "새로운 도구와 LLM을 사용하여 레거시 계약을 특별히 표적으로 삼고 있을 가능성이 있다"고 의심하고 있습니다.
그들은 "사용이 중단되거나, 효력이 만료되거나, 포기된" 2021년 계약에서 탈퇴할 것을 권고합니다.
또 다른 관찰자 역시 storm0x의 의심에 동의합니다. 그는 이미 정교한 공격자들을 위한 AI 지원의 급증이 향후 몇 년 동안 DeFi 개발자들에게 "극도로 고통스러운" 위협이 될 수 있다고 보고 있습니다.
"전략을 구축하고, 샘플링하고, 테스트하고, 활용하는 데 필요한 진입 장벽이 그 어느 때보다 낮아졌습니다."라고 그들은 말했다.
인공지능의 지원을 받는 해커들이 더 넓은 영역을 공격하는 것 외에도, 자율적인 인공지능 해킹 또한 미래에 위협이 될 수 있습니다 .
최근 Anthropic의 연구에서는 2020년에서 2025년 사이에 사용된 405개의 스마트 계약 라이브러리를 대상으로 AI 에이전트의 성능을 비교 분석했습니다.
AI 모델은 자체적으로 학습 마감일 이후에 배포된 계약에서 450만 달러 상당의 취약점을 발견했습니다. 또한 알려진 취약점이 없는 2,849개의 새로운 계약에서 "두 가지 새로운 제로데이 취약점"을 발견했습니다.
