탈중앙화 금융(DeFi) 대출 프로토콜인 문웰(Moonwell)은 같은 주에 심각한 재정적 타격을 입었습니다. 핵심 스마트 계약 버그로 인해 코인베이스 래핑 스테이킹 이더 토큰(cbETH) 가격이 잘못 책정되면서, 공격자와 청산 봇이 지갑을 털고 약 178만 달러의 부실 채권을 축적했습니다.
초기 사후 분석 결과, 논리 오류는 AI 모델인 Claude Opus 4.6이 공동 작성한 코드에 추가된 것으로 나타났습니다. 이는 AI가 작성한 코드를 인간의 철저한 검토 없이 바로 상용 제품에 배포하는 것의 위험성에 대한 우려를 다시 한번 제기하고 있습니다.
이번 가격 오류는 문웰 프로토콜의 온체인 오라클을 개편하는 거버넌스 업데이트 이후 발생했습니다. 이 업데이트는 오프체인 시장 가격을 대출 로직에 활용할 수 있는 정보로 변환하는 과정을 거쳤습니다. 시스템은 cbETH의 달러 가치를 잘못 계산했는데, 원래는 두 자산의 환율에 현재 이더리움(ETH)/USD 가격을 곱하여 계산해야 합니다. 따라서 시스템은 두 환율의 비율만을 사용하여 cbETH 가격을 실제 시장 가격인 약 2,200달러가 아닌 약 1.12달러로 잘못 표시했습니다. 이러한 차이로 인해 cbETH 가격이 2,000배나 저평가되었고, 이는 즉시 청산 봇과 기회주의적 거래자들에게 악용되었습니다.
스마트 계약 거래자와 봇은 단 몇 분 만에 소액을 상환하여 수천 달러에 달하는 cbETH 담보금을 확보했습니다. 전반적으로 문웰은 1,096 cbETH 이상의 가격이 왜곡되어 청산되면서 회수 불가능한 부실 채권 형태로 상당한 손실을 입었습니다.
문웰 팀은 문제가 발견된 직후 신속하게 대응하여 추가적인 악용을 방지하기 위해 cbETH 시장의 차입 및 공급 한도를 대폭 줄였습니다. 그러나 수정 작업에 5일간의 거버넌스 투표 및 타임락 기간이 소요되는 동안 청산이 계속 누적되었습니다. 이후 프로토콜 측에서는 오라클 설정 오류 및 위험 검사 강화를 위한 거버넌스 제안을 내놓았습니다.
인공지능의 역할에 대한 면밀한 검토
과거 탈중앙화 금융(DeFi) 분야에서 발생한 대부분의 취약점은 오라클 가격 피드 해킹이나 플래시론 때문이었지만, 이번 사례는 AI 생성 코드와의 링크(Chainlink) 때문에 이례적이라는 분석가들의 의견이 분분합니다. 스마트 계약 보안 감사 전문가인 파쇼프(Pashov)는 소셜 미디어를 통해 고급 생성 모델인 클로드 오푸스 4.6(Claude Opus 4.6)이 공동 작성한 깃허브 커밋과, 결함 있는 오라클 로직을 추가한 풀 리퀘스트를 지적했습니다. 이는 블록체인 및 AI 업계에서 핵심 금융 인프라 개발에 있어 AI의 역할에 대한 논란을 불러일으켰습니다.
개발자들이 AI의 제안이나 힌트를 바탕으로 실제 운영 환경에 적합한 코드를 작성하는 과정을 업계에서는 '바이브 코딩'이라고 부릅니다. 이 사례에서처럼 기본적인 가격 계산 과정에서 중간 환율에 적절한 미국 달러 페깅 곱하지 않은 것은 실제 금융 시장 상황에서 치명적인 결과를 초래했습니다.
비평가들은 AI가 시간이 많이 소요되는 반복적인 작업을 가속화하는 데 유용하지만, 자동화에 사용되는 코드 생성 과정이 DeFi 프로토콜에 필요한 복잡한 경제적 불변량과 예외 상황 논리에 대한 이해가 부족하다고 지적합니다. 단순한 단위 변환이나 가격 산출 과정에서의 계산 오류조차도 대규모로 사용될 경우, 특히 시스템의 지급 능력이 시장의 정확한 가격에 크게 의존하는 고레버리지 담보 대출 시스템에서는 엄청난 시스템적 위험으로 이어질 수 있습니다.
소프트웨어 개발에서 AI를 옹호하는 사람들은 Claude나 다른 생성 모델과 같은 시스템을 사용할 때 생산성 향상을 얻을 수 있다는 점은 인정하지만, 형식 검증 시스템과 인간 검토자가 여전히 필수적이라고 지적합니다. 이들은 AI가 특히 수십억 달러 규모의 온체인 유동성을 가진 프로토콜에서 보안에 대한 신중한 검토 프로세스를 보완해야 하지만, 그 자체로는 불가능해야 한다고 주장합니다.
탈중앙화 금융(DeFi) 및 인공지능(AI) 개발에 대한 더 넓은 의미
문웰 사태는 이미 디파이 커뮤니티 전반에서 도구, 감사 기준, 거버넌스 보호 장치에 대한 논쟁을 불러일으켰습니다. 약 178만 달러에 달하는 전체 손실액은 대형 프로토콜에서 발생했던 과거 해킹 사건과 비교하면 상대적으로 적어 보일 수 있지만, 이번 사건은 가격 피드의 사소한 논리적 오류조차도 실제 시장에서 수백만 달러 규모의 큰 손실로 이어질 수 있음을 보여줍니다.
보안 전문가들에 따르면, 오라클은 여전히 DeFi에서 흔히 발생하는 취약점입니다. 대출 플랫폼은 담보 데이터의 정확한 평가에 의존합니다. 외부 또는 내부의 가격 조작으로 인해 이러한 핵심 정보가 오염되면 프로토콜의 전체 위험 관리 모델이 무너질 수 있습니다. 이번 사건은 전형적인 오류 원인인 계산 및 데이터 흐름의 부실한 검증이 인공지능(AI)에 기인한다는 점을 지적하며 문제를 더욱 복잡하게 만들었습니다.
이번 취약점 공격 이후 문웰의 거버넌스 포럼은 더욱 활발해졌으며, 커뮤니티 구성원들은 지갑 대출 한도 제한, 추가 청산 수수료 완충 장치, 오라클 재구성 구현 전 온체인 테스트 등 위험 완화 조치를 제안했습니다. 프로토콜 내부 관계자에 따르면, 피해 사용자에 대한 보상 방안을 포함한 복구 계획이 논의 중이지만, 세부 사항은 아직 확정되지 않았습니다.
이것이 스마트 계약 엔지니어링에서 AI에 미치는 영향은 무엇일까요?
문웰 사고는 시스템의 핵심 부분에 AI를 도입하려는 개발자와 프로토콜 설계자에게 경각심을 일깨워주는 사례 중 하나입니다. 스마트 계약은 금융 건전성과 예치(stake) 되기 때문에 일반 애플리케이션 코드보다 정확성 보장 수준이 훨씬 높아야 합니다. 자동화된 코드 생성으로 상용구 템플릿을 활용하고 개발자 생산성을 향상시킬 수 있지만, 형식 검증, 사람의 검토, 그리고 경제적 악의적 상황에 대한 철저한 테스트는 무엇보다 중요합니다.
웹3 엔지니어링 프로세스에 AI 기반 도구가 점점 더 많이 도입됨에 따라, 업계에서는 AI의 출처, 의사 결정 논리, 수치적 정확성을 명시적으로 다루는 새로운 감사 프레임워크에 대한 요구가 높아지고 있습니다. 이러한 프레임워크에는 자동화된 테스트 소프트웨어, 기호 실행, 퍼징 기법 등이 포함되며, 이를 통해 실제 운영 환경에 배포되기 전에 계약의 논리를 매우 낮은 수준에서 검증할 수 있습니다.
향후 몇 주 동안 문웰의 거버넌스 성과와 커뮤니티 반응은 더 넓은 DeFi 업계가 AI 생성 코드 위험 회피를 어떻게 다룰지, 그리고 생산에 중요한 금융 프로그램에 생성형 모델을 통합하는 데 있어 더욱 엄격한 가이드라인을 어떻게 개발할지를 결정하는 중요한 요소가 될 것입니다.
Moonwell이 AI 생성 코드와 관련된 스마트 계약 버그로 178만 달러의 손실을 입었다는 소식이 Metaverse Post 에 처음으로 보도되었습니다.
