- 420만 달러 규모의 DUSD 공격은 단기 가격 예측을 조작하여 단일 Curve 풀의 자금을 고갈시키는 정밀한 플래시론 공격으로, 더 넓은 스테이블코인 시스템에는 영향을 미치지 않았습니다.
- 이번 사건은 극심한 유동성과 오라클 의존성이 단기간의 극심한 자본 불균형 상황에서 오히려 부담으로 작용할 수 있는, 반복적으로 발생하는 DeFi 취약점을 부각시켰습니다.
- 마키나의 신속한 대응으로 전염 확산은 제한되었지만, 이번 사건은 스테이블코인 풀의 유동성 공급자(LP) 리스크가 단순 토큰 보유 리스크와 구조적으로 다르다는 점을 다시 한번 보여줍니다.
마키나의 DUSD/USDC 커브 풀에 대한 표적 플래시론 공격은 스테이블코인 유동성, 오라클 설계 및 플래시 유동성이 결합하여 유동성 공급자(LP)에게 집중적인 위험을 초래할 수 있음을 보여줍니다.
사건
1월 20일 새벽, 고도로 정밀하게 계획된 플래시론 공격으로 Curve의 DUSD/USDC 유동성 풀에서 약 420만 달러가 유출되었습니다. 이는 2026년 초 발생한 가장 기술적으로 정교한 스테이블코인 공격 중 하나이며, 강력한 구성 가능성에도 불구하고 오라클 의존성 및 유동성 가정이 완벽하게 일치하지 않을 경우 공격 표면이 계속 생성된다는 점을 강조합니다.
마키나 파이낸스가 발행한 멀티 체인 스테이블코인 DUSD가 핵심 발행- 민트(Mint) 메커니즘이 아닌 단일 유동성 풀을 통해 공격을 받았습니다. 공격자는 플래시론을 통해 약 2억 8천만 달러 상당의 USDC를 차입하고, 오라클 참조 가격 입력값을 일시적으로 왜곡하여 유동성 포지션의 명목 가치를 부풀린 후, 시스템이 재균형을 이루기 전에 풀의 가용 자산을 모두 빼돌렸습니다. 최종적으로 공격 당시 약 1,299 이더리움(ETH) 에 해당하는 금액을 획득했습니다.
결정적으로, 이번 사건은 DUSD 전체 공급량이나 DUSD, 펜들(Pendle) 포지션, Gearbox 노출을 보유한 사용자에게는 영향을 미치지 않았습니다. 마키나는 사건 후 발표에서 이 점을 강조했지만, 자금 유출의 속도와 정확성을 보면 자본 집중, 오라클 지연 시간, 순간적인 유동성이 결합될 경우 아무리 잘 격리된 풀이라도 단일 장애 지점이 될 수 있다는 것이 분명해졌습니다.
공격 방식은 다음과 같습니다.
기술적인 측면에서 볼 때, 이번 공격은 DeFi 보안 연구원들에게 점점 익숙해지고 있는 패턴을 따랐지만, 실행 방식은 특정 목표에 맞춰 정교해졌습니다. 공격자는 DUSD/USDC 커브 풀에 엄청난 양의 USDC를 단기간 주입함으로써 하위 로직에서 의존하는 가격 가정을 조작하여 과잉 유동성이라는 착각을 불러일으키고 단일 거래 묶음 내에서 수익성 있는 차익 거래를 가능하게 했습니다.
플래시론은 선불 자본 필요하지 않고 동일한 블록 내에서 상환되어야 하므로 공격자는 방향성 위험을 최소화하면서 시간적 가격 왜곡을 악용할 수 있었습니다. 이러한 유형의 취약점은 풀이 시간 가중 또는 다중 소스 집계 방식이 아닌 단기적인 불균형으로 인해 왜곡될 수 있는 가격 피드에 의존할 때 DeFi 전반에서 반복적으로 나타났습니다.
그 결과는 시스템 붕괴가 아니라 깔끔한 자금 인출이었습니다. 마키나가 나중에 밝힌 바에 따르면 약 510만 달러 상당의 USDC가 풀에서 빼돌려졌고, 이로 인해 유동성 공급자들은 완전히 위험에 노출되었지만, 더 넓은 프로토콜 인프라는 그대로 유지되었습니다.
봉쇄 및 대응
마키나의 대응은 신속하고 포괄적이라는 점에서 주목할 만했으며, 이전 DeFi 위기에서 얻은 교훈을 반영했습니다. 팀은 즉시 해당 공격이 Curve DUSD/USDC 풀에만 국한되었음을 확인하고, 공격 이전 유동성 공급자 잔액 스냅샷 생성했으며, 영향을 받은 유동성 공급자가 장기적인 복구 방안을 검토하는 동안 DUSD로 일방적으로 자금을 인출할 수 있도록 복구 모드를 활성화했습니다.
1월 21일 발표된 공식 성명에서 마키나는 공격자의 온체인 신원과 관련된 단서를 파악했으며 적극적으로 대응을 시도하고 있다고 밝혔습니다. 또한, 안전장치가 마련되는 대로 환전 기능을 재개하고 유동성 공급자를 위한 대체 출금 경로를 제공할 것이라고 약속했습니다. 이는 공황 상태로 인한 확산이 다른 거래소로 번지는 것을 방지하기 위한 전략입니다.
이러한 접근 방식은 의사소통 지연과 불명확한 범위로 인해 손실이 증폭되었던 이전 DeFi 사건들과는 극명한 대조를 이루며, 절대적인 공격 방지보다는 운영 성숙도가 스테이블코인 인프라를 관리하는 프로토콜 간의 핵심 차별화 요소가 되었음을 강조합니다.
시장 신호 및 유동성 메모리
DUSD 사태가 특히 시사하는 바는 이번 공격과 DUSD의 이전 유동성 상황 사이의 극명한 대조입니다. 불과 몇 달 전인 2025년 9월, 팬케이크스왑(PancakeSwap) 의 DUSD/ 테더 USDT(USDT) 쌍은 24시간 거래량 8,211만 달러, 7일간 거래량 4억 3,900만 달러를 기록하며 플랫폼 내 Total Value Locked(TVL) 순위 1위를 차지했고, DUSD는 특정 거래 생태계 내에서 가장 활발하게 사용되는 스테이블코인 쌍 중 하나로 자리매김했습니다.
이러한 역사적 맥락은 중요합니다. 왜냐하면 유동성 심도가 종종 안정성의 신호로 해석되지만, 자본 충분히 집중되고 경제적 유인이 일치하는 경우, 특히 스테이블코인 패리티가 지속적인 스트레스 테스트가 아닌 가정되는 풀에서 정밀 공격의 표적이 될 수 있음을 보여주기 때문입니다.
이러한 점에서 이번 공격은 DUSD의 스테이블코인으로서의 자격을 무효화하는 것은 아니지만, 디파이(DeFi)에서 반복적으로 나타나는 교훈을 다시 한번 확인시켜 줍니다. 즉, 유동성이 곧 안전성을 의미하는 것은 아니며, 정상적인 상황에서는 가장 탄력적으로 보이는 풀조차도 악의적인 상황에서는 최적의 공격 대상이 될 수 있다는 것입니다.
스테이블코인에 대한 심도 있는 학습
DUSD 플래시론 공격은 당장의 손실을 넘어, 온체인 스테이블코인이 여러 체인과 프로토콜에 걸쳐 확장될 때 직면하는 구조적 문제를 보여줍니다. 구성 가능성은 빠른 성장과 자본 효율성을 가능하게 하지만, 동시에 복잡한 의존성 그래프를 생성하여 국부적인 장애가 특정 사용자 집단에 불균형적인 결과를 초래할 수 있습니다.
규제 기관, 금융 기관 및 인프라 제공업체가 스테이블코인을 단순한 금융 상품이 아닌 결제 및 정산 계층으로서 더욱 면밀히 검토함에 따라, 이번 사건과 같은 사례는 프로토콜의 지급 능력과 거래소 수준의 위험 사이의 차이를 더욱 명확히 보여줍니다. 이는 오라클 설계, 출금 메커니즘 또는 악의적인 스트레스 시나리오를 충분히 고려하지 않고 유동성 풀에서 수익률만 쫓는 사용자들이 종종 간과하는 미묘한 차이입니다.
영향을 받은 풀 외부의 DUSD 보유자들이 피해를 입지 않았다는 사실은 궁극적으로 마키나에게 유리하게 작용할 수 있지만, 이번 사건은 향후 디파이 안정화의 핵심은 표면적인 Total Value Locked(TVL) 수치보다는 프로토콜이 가장 취약한 부분, 특히 순간 유동성과 가격 발견이 충돌하는 지점을 어떻게 설계하는지에 달려 있음을 다시 한번 보여줍니다.
더 읽어보기:
급전 대출에서 글로벌 은행으로: 아베(AAVE) 의 이야기
〈 표적화된 플래시론 파업으로 스테이블코인 유동성의 결함 라인 노출 〉 這篇文章最早發佈於 《 CoinRank 》。
