# 기존 DeFi 프로토콜이 공격을 받았습니다. Yearn은 1,000 ETH를 잃었습니다. 이제 DeFi는 완전히 사용할 수 없게 된 건가요?
42개의 KOL 의견
Loading..
심층 분석
67
17
37
코멘트
심층 분석
Powered by Asksurf.ai
Yearn Finance yETH LST 풀 공격 사건 분석
요약
2025년 11월 30일 21시 11분(UTC), Yearn Finance의 yETH LST 상품이 무제한 발행 취약점 공격을 받았습니다. 공격자는 약 235조 개의 yETH 토큰을 민트 하고 관련 Balancer 유동성 풀에서 약 280만 달러 상당의 ETH 및 LST 자산을 클레임 후 Tornado Cash를 통해 자금을 세탁했습니다. Yearn의 주요 볼트(V2/V3)는 영향을 받지 않았지만, 이 사고로 기존 LST 구현 방식의 보안 리스크 드러났습니다.
핵심 분석
공격 세부 정보 및 메커니즘
공격 타임라인 :
- 공격 시간 : 2025년 11월 30일 21:11 UTC theblock.co
- 취약점 유형 : yETH 토큰 계약 (beincrypto.com) 의 무제한 발행 취약점
- 공격 규모 : 단일 거래로 약 235조 yETH 토큰이 민트. (beincrypto.com )
기술적 세부 사항 :
- 공격자는 공격이 시작되기 몇 분 전에 2차 계약을 구축했지만, 공격 직후에 자체 파괴하여 흔적을 감췄습니다 .
- 민트 가짜 yETH 토큰을 사용하여 Balancer 풀의 ETH 및 다양한 LST(Rocket Pool, Origin, Dinero 등)를 포함한 실제 자산과 교환하세요 . beincrypto.com
- Nansen 경보는 yETH 계약에서 무제한 발행 문제를 확인합니다 (beincrypto.com)
손실 평가
| 색인 | 양 | 상태 |
|---|---|---|
| 총 손실 추정 | 280만~300만 달러 | 확인됨 |
| 토네이도 캐시로 이체 | 1,000 ETH(약 300만 달러) | 자금세탁 |
| 영향을 받은 풀 | yETH LST 밸런서 풀 | 탈진한 |
| Yearn 메인 볼트 TVL | 6억 달러 | 영향을 받지 않음 |
자금 흐름 :
- 공격자는 훔친 자산을 약 1,000 ETH로 전환했습니다.
- 각각 100 ETH의 여러 배치 전송이 Tornado Cash 믹서 theblock.co 로 이루어졌습니다.
- 자금세탁 절차는 UTC 기준 22:00 이전에 완료되었습니다.
공식 대응 분석
Yearn Finance 명세서 :
- 이 취약점은 기존 yETH 토큰 계약에만 국한되는 것으로 확인되었으며, V2/V3 볼트는 영향을 받지 않습니다. (beincrypto.com )
- 핵심 TVL(6억 달러 이상)이 안정적으로 유지된다는 점을 강조하며 beincrypto.com
- 조사가 진행 중이며 공식적인 사고 후 분석 보고서는 아직 발표되지 않았습니다 . beincrypto.com
시장 반응 :
- YFI 토큰의 가격은 이벤트가 발생한 지 1시간 만에 4,080달러에서 4,160달러로 급등했는데, 이는 공황 매도보다는 주로 공매도(Short) 스퀴즈로 인한 것입니다.
- 협정의 전반적인 TVL은 안정적으로 유지되었으며, 이는 핵심 인프라에 대한 시장의 신뢰를 보여줍니다.
커뮤니티 정서 분석
제한된 커뮤니티 반응 :
- 2025년 12월 1일 UTC 기준으로, 대량 참여도가 높은 커뮤니티 토론은 발견되지 않았습니다.
- 공식적인 의사소통은 beincrypto.com의 핵심 인프라에 대한 신뢰를 유지하는 것을 목표로, 이 사건을 고립시키는 데 중점을 두었습니다.
- 지역사회에서 광범위한 비판이 없다는 것은 신뢰 위기의 즉각적인 징후가 없음을 나타냅니다.
리스크 내러티브 주제 :
- 토론은 유동성 풀 내에서 무제한 발행 리스크 등 LST AMM 설계의 취약성에 초점을 맞췄습니다 .
- beincrypto.com에서는 수익률 최적화 상품에 대한 견고한 계약 감사 의 필요성을 강조합니다.
단기 리스크 평가
기술적 리스크
계약 보안 문제 :
- yETH 제품은 기존 LST 구현의 심각한 취약점을 노출시켰습니다.
- 무제한 발행 취약점은 민트 메커니즘에 적절한 보안 검사가 부족하다는 것을 나타냅니다.
- 유사한 기존 계약에 대한 포괄적인 감사 필요합니다.
유동성 리스크 :
- yETH와 관련된 Balancer 풀의 유동성이 고갈되었습니다.
- yETH 제품의 기능은 단기적으로 제한될 수 있습니다.
- 사용자는 시장에서 나가거나 가격 충격에 어려움을 겪을 수 있습니다.
평판 및 신뢰 리스크
계약 수준에서 :
- 핵심 보관소는 영향을 받지 않았지만, 이 공격은 Yearn의 보안에 대한 전반적인 신뢰도에 영향을 미칠 수 있습니다.
- 기존 제품의 취약점으로 인해 다른 Yearn 제품에 대한 조사가 필요할 수 있습니다.
- 신뢰를 회복하려면 투명한 사후 분석과 시정 조치가 필요합니다.
LST 생태계 리스크 :
- 이 사건은 LST 풀 설계의 체계적 리스크 잘 보여줍니다.
- 이로 인해 다른 LST 프로토콜의 보안에 대한 의문이 제기될 수 있습니다.
- 자금세탁 활동으로 인해 규제 주의가 높아질 수 있습니다.
시장 영향 리스크
단기 시장 동태 :
- YFI 가격의 이례적인 상승은 복잡한 시장 반응을 나타냅니다.
- Yearn 상품에서 단기적으로 자본 유출이 발생할 수 있습니다.
- 경쟁자들은 이 이벤트를 이용해 시장 점유율 확대할 수 있습니다.
결론적으로
Yearn Finance yETH LST 풀 공격은 규모는 비교적 작았지만(약 280만 달러), 기존 LST 구현 방식에 심각한 보안 취약점을 노출시켰습니다. 주요 리스크 요인으로는 무제한 발행 취약점의 기술적 심각성, 토네이도 캐시를 통한 자금 세탁의 급속한 증가, 그리고 더 광범위한 LST 생태계 보안에 미칠 수 있는 잠재적 영향 등이 있습니다. Yearn의 핵심 인프라는 영향을 받지 않았지만, 사용자는 단기적으로 공식 업데이트 및 복구 노력을 면밀히 모니터링하고 다른 LST 제품에 대한 유사한 리스크 노출을 평가해야 합니다.
Surf 에 대해 더 알아보기