7월 25일 저녁, zkSync에서 TVL이 가장 높은 대출 프로토콜인 EraLend가 갑자기 해커의 공격을 받았습니다 . 해커는 오라클 가격을 조작해 EraLend의 USDC 풀에서 약 276만 달러의 자금을 얻었으며, 다른 펀드 풀에는 영향을 미치지 않았습니다. 사건 이후 EraLend는 모든 풀의 차입(Borrow)과 USDC 풀, SyncSwap LP 풀의 입금(공급) 기능을 중단했습니다.
이 공격에서 EraLend 사용자만이 영향을 받은 것이 아니라 연쇄 반응도 촉발되었습니다. 스테이블코인 USD++ 보유자들도 손실을 입었습니다.
USD+는 누구인가요?
USD+는 Overnight.fi에서 발행하고 OP, Arb 및 zkSync와 같은 여러 체인에 배포되는 스테이블 코인 제품입니다. 법정화폐 보유량에 의존하는 일반 스테이블코인과 달리 본 상품은 법정화폐와 직접 연결되지 않고 USDC 1:1로 연동됩니다.
(USD+ 자산준비금)
USD+의 또 다른 매력은 이 스테이블 코인을 보유함으로써 수익을 얻을 수 있다는 것입니다. 프로젝트 당사자는 여러 DeFi 프로토콜에 예비 자산을 투자합니다. 따라서 이 상품은 DeFi 세계의 머니마켓 펀드를 이해할 수 있으며 USD+는 1%~5%의 수익률을 생성할 수 있으며 수익은 매일 분배됩니다.
공식 문서의 소개에는 USD+를 사용하면 심층적인 시장 조사와 빈번한 거래를 피할 수 있고, 많은 DeFi 프로토콜 사용에 참여할 수 있으며, 스테이킹 없이 수익을 얻을 수 있다는 이점이 있다고 명시되어 있습니다. 아울러 해당 관계자는 문서에 “ USD+ 담보에 포함된 모든 프로토콜의 리스크는 귀하가 부담하게 됨을 유의하시기 바랍니다”라고 구체적으로 명시하기도 했다.
모든 것이 잘 작동한다면(프로젝트 팀의 예상대로) 사용자는 체인에서 완전히 실행되고 분산되어 있으며 이를 보유함으로써 이자를 얻을 수 있는 스테이블 코인 자산을 가질 수 있습니다. 모두 꽤 좋은 것 같습니다. 그러나 불행하게도 EraLend 보안 사고는 USD+를 다른 방향으로 이끌었습니다.
성문에 불이 붙어 연못의 물고기에게 영향을 미칩니다.
USD 이상을 보유한 사용자가 왜 혜택을 받을 수 있나요? 프로젝트의 예비 자산에는 수많은 DeFi 자산이 포함되어 있기 때문입니다. 불행히도 여기에는 EraLend 예금도 포함됩니다.
공식적으로 USD+ 예비 자산은 EraLend에 예치되어 ETH를 빌리기 위한 담보로 사용됩니다. 두 가지를 결합하여 USDC/ETH LP를 형성하고 mute.io에서 수입을 얻으세요. 사건 이후 약 283 ETH와 520,000 USDC가 LP 쌍에서 인출되었습니다.
(온체인 운영기록)
관계자들은 프로젝트팀 LP가 다량의 ETH를 대출했기 때문에 EraLend에서의 순자산 노출은 크지 않았다고 밝혔습니다(공식 표현은 "노출이 상쇄되었습니다"). 그러나 이 프로젝트는 여전히 일부 스테이블코인 손실에 직면했습니다.
지금까지 Overnight 관계자는 소셜 미디어에서 이번 보안 사고로 인한 구체적인 손실을 공개하지 않았습니다. 그러나 Overnight.fi 가 EraLend에 $786,162를 보유하고 있으며 약 283.0596 ETH($524,509)를 빌린 노출을 기반으로 추정할 수 있습니다 . 이로 인해 최대 $261,652의 손실이 발생할 수 있습니다. 약 $261,000, 현재 USD+ 공급량은 3,330,769개이므로 잠재적 손실은 시가총액의 약 7.86%입니다.
리베이스는 어떻게 사용자 자산을 가져가나요?
패배 이후 오버나잇팀의 대처는 유저들 사이에서 불만을 자아냈다.
팀은 통화 가격 안정성을 회복하기 위해 USD+를 "리베이스"할 것이라고 밝혔습니다. 하지만 트위터에는 리베이스 수행 방법에 대한 자세한 설명이 없었습니다.
다수의 사용자 댓글과 커뮤니티 운영을 통해 우리는 소위 리베이스(rebase)가 현재 USD+를 보유 가치에 따라 더 적은 금액의 USD+로 재구성하는 것을 의미한다는 것을 마침내 알게 되었습니다. 즉, 사용자는 이번 사고로 인한 손실을 보상하기 위해 비용을 지불해야 합니다.
SyncSwap 생태계의 일부이기도 한 또 다른 DEX 프로젝트인 SyncSwap은 이를 대다수 사용자에게 신중하게 설명했습니다. USD + 팀은 향후 영향을 받은 자금에 대해 사용자에게 보상하기 위해 USD+ 보유자와 유동성 공급자의 스냅샷을 찍을 예정이지만, 인출한 사람만 스냅샷에 포함됩니다. 사용자가 출금을 하면 "리베이스"가 됩니다. 즉, 잔액이 직접 감소됩니다.
트위터 사용자 @Jue 0123이 USD+를 인출했습니다. 그러나 그는 326 USD+가 267 USDC로만 교환될 수 있다는 사실에 놀랐습니다.
공식 트위터에서는 이에 대해 유저들이 불만을 토로하고 있다. 직설적으로 "당신이 내 돈을 훔쳤어요!"라고 말하세요.
팀운영 : 무책임, 공지삭제
재산 피해에 대한 부실한 처리에 더해 이번 사건에 대한 홍보 태도도 부실했다.
리베이스 발표 이후 오버나이트 공식 트위터는 '물주기' 모드에 들어가 미친 듯이 많은 트윗을 보내기 시작했다. 현재로서는 공식 트윗 전 보안 사고와 관련된 트윗을 몇 화면 내에서 스와이프하는 것이 어렵다.
아울러 관계자는 “자세한 내용은 저희 디스코드에서 확인하실 수 있다”고 밝혔으나, 이러한 보안 진행 상황을 공개하는 공식 디스코드 공지는 공개할 수 없습니다.
Overnight 공식 웹사이트에서는 USD+, ETS, USD+ 보험이라는 확실한 포지션의 Overnight 세 가지 상품을 볼 수 있습니다.
USD+에는 해당 제품이 보험으로 보호된다는 점과 "모든 손실은 보험 기금에서 보상됩니다"라고 명시되어 있습니다. USD+ 보험은 USD+ 수입의 일부를 보험료로 징수하고 USD+ 손실은 보험 기금에서 먼저 지불하는 상품을 나타냅니다.
실제로 USD+의 보안 메커니즘 설계가 완전히 실패한 것이 아닙니다. 보험 메커니즘은 아무런 효과가 없었고 일련의 후속 처리 작업은 더욱 놀랍습니다.
더욱 황당한 것은 Overnight.fi 공식 홈페이지에서 팀원 9명의 정보를 공개하며 구글 , 페이스북 등 인터넷 취업 경험이 있다고 주장했다는 점이다. 오데일리 플래닛데일리는 공식 홈페이지에 공개된 링크드인(Linkedin) 링크를 기준으로 검색한 결과, 위 9명 중 한 명도 발견하지 못했다. 전체 프로젝트가 의심스럽다고 할 수 있습니다.
체인 세계에서는 코드가 법이지만 프로젝트 당사자의 일방적인 약속은 신뢰할 수 없습니다. Odaily Planet Daily는 사용자에게 자산 보안에 주의를 기울일 것을 상기시킵니다.
