비너스 프로토콜, 또 다른 보안 취약점에 노출: XVS 투자자 관련 195만 달러 송금 사건 분석

주요 내용 : 2026년 3월 중순, 비너스 프로토콜(BNB 체인 최대 대출 플랫폼)에서 THE 토큰 공급량 제한 위반 사고가 또다시 발생하여 약 215만 달러에서 370만 달러에 달하는 부실 채권이 발생했습니다. 이 사건 이후, 트론 창립자 저스틴 선은 2년 만에 처음으로 62만 XVS(195만 달러 상당)를 새로운 지갑으로 이체하여, 대규모 보유자들의 신뢰와 거버넌스에 미칠 영향에 대한 우려를 불러일으켰습니다. 현재 XVS 가격 변동성이 증가했으며, 비썸 거래소 XVS를 철수 감시 목록에 올려 프로토콜의 장기적인 보안 취약성을 강조했습니다. (비트코인월드 더 블록)

BNB 체인의 주요 대출 플랫폼인 비너스는 ​​14억 7천만 달러 의 TVL(총 예치 자산)과 약 9천 4백만 달러 의 FDV(연간 변동 가치)를 자랑했지만, 1억 달러가 넘는 부실 채권을 누적했습니다. 이번 사건은 플래시론 공격이 아니라, 9개월에 걸쳐 THE 토큰을 축적한 공격자들이 사전에 계획한 공격이었습니다. 공격자들은 기부 공격을 통해 공급 한도(1,450만 THE 토큰)를 우회하고, TWAP 오라클 지연을 이용해 가격을 조작하여 0.27달러에서 5달러까지 끌어올렸습니다. CAKE와 BNB 같은 자산을 대출해 준 후, 플랫폼은 붕괴되어 청산되었습니다. 이 사건은 DeFi에서 유동성이 낮은 자산의 리스크 관리가 얼마나 중요한지 보여줍니다. 프로토콜 측에서 THE 토큰 거래를 중단하고 담보 비율을 8포인트 낮춰 0으로 만들었지만, 과거의 악순환을 완전히 없애지는 못했습니다.

이벤트 타임라인

시점 분석 : 공격 이후 Sun의 자산 이전은 프로토콜 거버넌스(XVS가 거버넌스 권한을 보유)에 있어 민감한 시기에 발생했습니다. 이번 움직임은 직접적인 매도(대규모 DEX 주문 없음)가 아니라 지갑 구조 조정이나 투표 준비와 유사했습니다. 그러나 Venus의 과거 부실 채권 문제를 고려할 때, 이러한 신호는 시장 패닉을 증폭시켜 XVS에 단기적인 압력을 가할 수 있습니다.

저스틴 선 XVS 이적 분석

• 거래 내역 : 620,000 XVS, 가치 195만 달러 , Sun Microsystems의 기존 지갑에서 발생하여 거래 내역이 없는 신규 주소로 전송, 단일 블록에서 완료, 일반 가스 수수료 적용. 블록체인 추적 정보는 ai_9684xtpa가 처음 보고했습니다. Bitcoinworld
• 배경 : 선 그룹(Sun Group)의 초기 비너스(Venus) 지지자입니다. 이는 지난 2년 동안 가장 큰 규모의 XVS 움직임이며, 테러 공격 직후에 발생했습니다. 매도 주문은 아닙니다(DEX에 상응하는 주문 없음). 아마도 다음과 같은 이유일 수 있습니다.
  • 지배구조 준비 : 부실채권 관리 제안에 대한 새로운 주소 구성 투표.
  • 안전한 구조 조정 : 기존 지갑과 리스크 방지하기 위한 표준 대규모 계정 운영 방식입니다.
  • 신뢰 신호인가?: Bithumb의 분석과 더불어 주로 부정적으로 해석되는 점을 고려할 때, XVS 종목의 집중 포지션 로 리스크 점점 더 분명해지고 있다.
• 시장 반응 : 해당 이체는 직접적인 매도세를 촉발하지는 않았지만, XVS 변동성이 증가했습니다. 이는 과거 고래 투자자들의 움직임이 종종 변동성을 예고했던 것과 유사합니다 (Sun의 과거 ETH/BTC 이체는 시장 변곡점에서 자주 발생했습니다).

트위터에서 비너스 공격에 대한 언급이 간헐적으로 있었지만, 썬 마이크로시스템즈로 인해 큰 논의가 일어나지는 않았습니다. 이는 해당 사건의 영향이 디파이 커뮤니티에만 국한되었음을 시사합니다.

취약점 기술적 세부 정보 및 공격 경로

공격자들은 순간적인 플래시론을 이용한 것이 아니라, 사전에 계획된 축적 방식을 사용했습니다. 6월부터 THE를 비축하여 비너스(Venus) 공급량을 장악하고, 일반적인 예치 방식을 우회하여 vTHE 계약에 직접 "기부"함으로써 1,450만 한도를 초과했습니다. 그 과정은 다음과 같았습니다. THE 예치 → TWAP 가격의 시차 상승 → CAKE/BNB/BTC 차입 → 추가 THE 구매 → 반복. 청산 시점에 THE는 0.24달러까지 폭락했고, 이로 인해 118만 CAKE + 184만 THE(총 215만 달러) 의 부실채권이 발생했습니다. 공격 주소는 토네이도 캐시(Tornado Cash)로 7,400 ETH를 획득했는데, 이는 중앙거래소(CEX)에서 영구적인 수익을 위한 헤지 수단으로 사용되었을 가능성이 있습니다. (더 블록 )

왜 우리는 이런 공격에 반복적으로 희생되는 걸까요 ? 비너스 컴파운드 포크, 기부 공격의 알려진 취약점(코드4레나의 감사 에 언급되었지만 팀은 부인함), 그리고 유동성이 낮은 자산인 TWAP을 쉽게 악용할 수 있다는 점 때문입니다.

역사적 부실채권 비교: 금성의 "회복력"인가, 아니면 숨겨진 위험인가?

비너스는 1억 달러가 넘는 부실채권을 누적했지만, 바이낸스 출신이라는 배경과 커뮤니티 펀드의 지원 덕분에 BNB 체인에서 TVL(총 예치 자산)이 여전히 가장 높습니다. 하지만 비너스의 사업 모델은 오라클 조작과 유동성이 낮은 자산을 활용하는 유사합니다.

분석 : 부실채권은 매년 발생하며, 계약은 이를 충당하기 위해 국가 재정/정부에 의존하지만, 사용자 신뢰도는 점차 하락하고 있습니다. XVS의 지배구조는 Sun과 같은 대형 투자자들에 의해 집중되어 있어 제안을 이전하거나 촉진할 수는 있지만, 근본적인 해결책이 없다면 총 예치자산(TVL) 유출 리스크 높습니다.

시장 및 리스크 평가

| 리스크 요소 | 심각도 | 세부 사항 및 영향 | |----------|--------|------------| | 보안 문제 | 높음 | 누적 부실 채권 1억 달러, THE 사건 이후 여러 시장 정지, TVL 10~20% 감소 가능성 | RootData(Chaincatcher 경유) | | 거래소 압력 | 중간-높음 | Bithumb 감시 목록 등재, 낮은 거래량으로 철수 용이, 한국 사용자 감소 | Bitcoinworld | | 고래 투자자 집중도 | 중간 | Sun 전송으로 불확실성 증폭, 의결권 조작 용이 | Coinness | | 경쟁 심화 | 중간 | BNB 체인의 다른 대출 플랫폼(Aave 등)으로의 이전 | - |

데이터 제한 사항 : 실시간 XVS 가격/TVL 데이터 없음(2026년 3월 16일 오전 기준 뉴스); 부실채권 추정치 차이(출처에 따라 215만 달러 대 370만 달러); 최신 온체인 고래 투자자 데이터 없음; 트위터에 대한 심층적 정서 분석 없음. 해당 이벤트는 최근에 발생했으므로 거버넌스 제안을 지속적으로 모니터링해야 합니다.

전망 및 권고사항

단기 전망 : XVS는 압박을 받고 있습니다. 비썸의 재무 검토 및 부실채권 정리 상황을 주시하십시오. 썬 마이크로시스템즈의 주주총회 소집이 긍정적인 신호로 받아들여질 수 있지만, 그렇지 않을 경우 매도세가 촉발될 수 있습니다.

장기적으로 볼 때 , 비너스의 회복력은 바이낸스 생태계에 달려 있지만, 오라클/동적 한도(dynamic cap)를 업그레이드해야 합니다. 그렇지 않으면 TVL(총 예치 자산) 지배력을 유지하기 어려울 것입니다. 투자자들은 유동성이 낮은 자산에 대한 노출을 피하고, 승인된 출금이 가능한 하드웨어 지갑(예: Revoke.cash)을 우선적으로 고려해야 합니다.

행동 관점 : 주로 관찰하십시오 . 대규모 투자자는 고가 추격 투자를 지양하고 비너스 사태 사후 분석 보고서(현재 검토 중)에 주목해야 합니다. DeFi 사용자: 기존 승인 내역을 확인하고, 높은 TVL/ 감사 프로토콜을 우선적으로 활용하십시오. 이번 사태는 경고입니다. 핵심 자산의 낮은 TVL은 높은 리스크 의미하며, 프로토콜 매개변수는 실시간으로 조정되어야 합니다.