저자: 구위, 체인캐처
해커는 모든 DeFi 프로토콜의 치명적인 적입니다. 대부분의 DeFi 프로토콜은 수백만 달러에 달하는 공격 손실을 입은 후 붕괴되고 쇠퇴합니다. 하지만 BNB 체인의 대표 대출 프로토콜이자 바이낸스의 인큐베이팅 프로젝트인 비너스 프로토콜은 이러한 흐름에서 벗어난 드문 예외입니다.
비너스는 원래 바이낸스에 인수된 스와이프(Swipe) 팀에서 개발했으며, 2020년 BNB 체인 메인넷 출시 다음 달에 출시되었습니다. 출시 직후 비너스는 BNB 체인에서 가장 많은 예치 자산과 사용자 기반을 보유한 대출 프로토콜로 빠르게 자리매김했습니다. 루트데이터(RootData) 에 따르면, 비너스 토큰의 FDV는 현재 9,400만 달러, TVL은 14억 7천만 달러입니다.
최근 비너스(Venus)가 다시 한번 해킹 공격의 표적이 되었습니다. 공식 팀의 설명에 따르면, 공격자들은 2025년 6월부터 일반적인 입금 과정을 통해 THE 토큰을 천천히 축적하기 시작하여, 최종적으로 약 1,220만 개의 THE 토큰(미화 240만 달러 상당)을 확보했습니다.
3월 15일, 공격자는 THE 토큰의 극도로 낮은 온체인 체인 유동성과 TWAP 오라클 의 지연을 악용하여 모든 THE 토큰을 담보로 대출 계약에 직접 예치함으로써 가격을 반복적으로 조작하고, BTC, BNB, CAKE 등 수백만 달러 상당의 자산을 대출했습니다.
THE의 가격 폭락은 연쇄 청산을 촉발했고, 결국 비너스에 약 215만 달러의 부실채권을 안겨주었습니다. 지난 몇 년간 비너스는 거의 매년 해킹 공격, 특히 오라클 공격을 받아왔으며, 이로 인해 1억 달러가 넘는 부실채권이 발생했습니다.
XVS 오라클 가격 조작 사건
2021년 5월, 한 공격자가 중앙화 거래소(주로 바이낸스)에서 XVS 토큰의 유동성이 상대적으로 부족하다는 점을 악용하여 XVS 가격을 단기간에 약 70달러에서 140달러 이상으로 끌어올렸습니다. 이후 공격자는 자신이 보유한 XVS를 담보로 비너스 프로토콜에서 대량 의 고품질 자산(약 2,000 BTC 및 5,700 ETH)을 차입했습니다.
이후 XVS 가격은 폭락하여 최저 31달러까지 떨어졌고, 대규모 매도세가 촉발되었습니다. 시장 유동성이 이러한 대규모 매도를 감당하지 못하면서 비너스 프로토콜은 9,500만 달러 이상의 부실채권을 떠안게 되었습니다.
이 사건 이후, 프로토콜 측은 Swipe 팀이 경영진에서 물러나고 커뮤니티 구성원으로 이루어진 새로운 위원회가 프로토콜의 운영을 맡게 될 것이라고 발표했지만, 여전히 바이낸스와의 강력한 연관성을 유지하고 있습니다.
루나 추락
2022년 5월 루나(LUNA) 폭락 당시, 루나의 실제 가격은 0.10달러 아래로 급락했습니다. 하지만 체인링크 오라클 가격이 특정 임계값(0.10달러) 이하로 떨어진 후 업데이트를 중단했기 때문에, 비너스 프로토콜은 여전히 잘못된 "높은 가격"인 0.10달러로 루나 담보를 수락했습니다.
취약점을 발견한 공격자들은 유통시장 에서 저렴한 가격으로 대량 의 LUNA를 매입하여 Venus에 예치했습니다. 그런 다음 이렇게 부풀려진 LUNA 가치를 담보로 다른 자산을 차입하여 프로토콜에 1,120만 달러 이상의 부실채권을 발생시켰습니다.
바이낸스 오라클 사건
2023년 12월, 비너스는 바이낸스 오라클의 가격 피드 데이터를 이용하여 유동성이 낮은 자산인 snBNB의 분리 대출 풀에서 snBNB를 매수했습니다. 이 풀은 규모가 매우 작은 팬케이크스왑(PancakeSwap)에 위치해 있었습니다. 극도로 부족한 유동성으로 인해 snBNB 가격은 순식간에 터무니없이 높은 수준으로 치솟았습니다.
공격자는 0.49 snBNB를 예치한 후 풀에 있는 거의 모든 자산(WBNB, BNBx, ankrBNB 등 포함)을 빌려 약 274,000달러를 조달했으며, 이는 이후 크로스체인 브리지를 통해 자금 세탁되었습니다. 결국 비너스 거버넌스는 재무부 자금을 사용하여 이 부실 채권을 전액 상환하는 안건을 통과시켰습니다.
wUSDM 오라클 가격 조작 사건
2024년 2월, 한 공격자가 ERC-4626 프로토콜의 취약점을 악용하여 마운틴 프로토콜에서 발행한 스테이블코인인 wUSDM의 가격을 단기간에 1.7달러까지 인위적으로 상승시켰습니다. 이후 공격자는 소량의 wUSDM을 비너스 프로토콜에 예치했습니다.
오라클 조작된 "허위 고가"를 읽어냈기 때문에 공격자들은 이렇게 부풀려진 wUSDM 담보를 이용해 풀에서 더 높은 가치의 다른 자산(예: USDC 및 ETH)을 빌렸습니다. wUSDM 가격이 정상적인 1달러로 떨어지자 공격자들은 이미 빌린 자산을 이체했고 더 이상 상환하지 않았습니다. 비너스는 이 거래를 청산한 후 약 71만 6천 달러의 부실채권을 떠안게 되었습니다.
지역사회 거버넌스 분쟁
위에서 언급한 공격 외에도, 비너스는 2021년 9월 거버넌스 관련 사건으로 외부의 비판에 직면했습니다. 당시 비너스 커뮤니티의 한 사용자가 "브라보 팀 구성"이라는 제목의 제안을 게시했는데, 이는 기존 거버넌스 팀과 동등한 투표권과 모금 권한을 이 팀에 부여하자는 내용이었습니다.
하지만 발의자는 토큰을 배포하겠다고 약속하며 투표를 유도한 것으로 보입니다. 제안에 따르면, 융자 될 190만 XVS 토큰 중 브라보 팀은 찬성표를 던진 주소에 90만 XVS(2,900만 달러)를 할당하기로 했습니다. 결국 9월 14일 오후 10시 33분, 찬성 129만 표, 반대 119만 표로 해당 제안이 통과되었습니다.
업계 관행에 따르면, 온체인 거버넌스 제안은 투표를 통해 통과되면 팀에서 실행해야 합니다. 그러나 비너스 팀은 익명의 개인이 뇌물을 통해 프로토콜을 조종하는 것을 막기 위해 단 한 번의 클릭으로 해당 결의안을 "취소"했습니다. 이는 온체인 거버넌스 제안이 투표를 통과했지만 실행되지 않은 극히 드문 사례 중 하나입니다.
또한, 2025년 9월 비너스 프로토콜에서 보안 사고가 발생하여 사용자들이 1,300만 달러 이상의 손실을 입었습니다. 하지만 이는 비너스 자체의 취약점 때문이 아니라, 해커들이 사용자의 컴퓨터 인터페이스를 변조하여 "위임" 거래에 서명하도록 유도한 데 따른 것이었습니다.
금성은 어떻게 "생존자"가 되었을까요?
이러한 공격들을 살펴보면, 비너스는 암호화폐 업계에서 보기 드문 "생존자"이며, 해킹 공격에 대처하는 데 있어 가장 경험이 풍부한 프로젝트라고 할 수 있습니다. 이는 암호화폐 업계의 거물인 바이낸스가 자원과 브랜드를 아낌없이 제공하며 비너스를 지속적으로 지원해 온 덕분입니다. 수많은 보안 사고에도 불구하고, 바이낸스는 자사의 자산 관리 기능을 통해 거래소 사용자들에게 더 높은 수익률을 얻을 수 있도록 비너스에 투자하도록 적극적으로 권장하고 있습니다.
온체인 TVL 통계 출처: DeFillama
널리 알려진 바와 같이, 바이낸스는 BNB 체인 생태계 내에서 절대적인 권력을 행사합니다. 바이낸스의 주요 대출 지원자인 비너스는 잠재적인 보안 취약점 속에서도 다른 대부분의 DeFi 프로젝트와는 비교할 수 없는 강력한 생태계 지원과 리스크 완화 기능을 꾸준히 누리고 있습니다.
산업적 관점에서 볼 때, 이러한 사례들은 DeFi의 취약성 또한 부각시켜 줍니다. 오라클 지연, 비유동성 자산, 가격 조작, 거버넌스 허점 등은 비너스(Venus)를 비롯한 수많은 DeFi 프로젝트에서 반복적으로 발생해 온 문제들입니다.
고도로 자동화된 DeFi 시스템에서 시스템의 어느 부분에서든 설계 결함이 발생하면 공격자는 가격, 유동성 또는 시간 차이를 악용하여 복잡한 차익 거래 공격을 구축할 수 있습니다.
비너스가 여러 위기를 극복할 수 있었던 것은 강력한 생태계 지원과 재정적 보상 능력 덕분입니다. 하지만 대부분의 DeFi 프로젝트는 수천만 달러 규모의 공격 한 번만으로도 프로토콜 전체가 무너지는 경우가 많습니다.
비너스의 "예외" 사례는 주요 생태계가 프로젝트를 보호할 수 있는 능력을 보여줄 뿐만 아니라, DeFi 보안 시스템의 전반적인 취약성도 드러냅니다. 보안이 프로토콜 자체의 위험 관리 및 메커니즘 보장보다는 "거대 기업의 지원"에만 의존해야 하는 상황이라면, DeFi의 진정한 보안을 확보하는 것은 여전히 길고 험난한 과제입니다.
