안녕하세요! 만약 최근 암호화폐 세계에 관심을 가지고 계셨다면 Silo Finance의 보안 이슈에 대한 소식을 들어보셨을 겁니다. 2025년 6월 25일, BlockSec 팀이 X에 Silo 플랫폼을 노린 스마트 계약 익스플로잇을 상세히 분석한 스레드를 공개했습니다. 이 내용을, 이 분야가 익숙하지 않아도 이해할 수 있게 쉽게 풀어드릴게요.

무슨 일이 있었나?

담보 없이 누군가에게 돈을 빌려주고 같은 날 돌려받는 상황을 상상해보세요. DeFi 세계에서 바로 이런 게 플래시론입니다. 이 대출은 매우 빠르고 선제 담보 없이 이루어져서 편리하지만, 누군가 시스템을 악용할 방법을 찾으면 큰 문제가 되죠. BlockSec에 따르면, 공격자들은 Silo의 스마트 계약(블록체인 상에서 자동 실행되는 코드)에 있는 플래시론 콜백 함수라는 취약점을 발견했습니다. 이 약점 덕분에 그들은 다른 사람들의 담보를 무단으로 이용해 자산을 빌릴 수 있었습니다.

이번 공격은 여러 블록체인에서 발생했는데, 이더리움에서는 한 번에 약 54만 6천 달러, 추가로 3천 달러를 탈취했습니다. Sonic 네트워크에서는 손실 규모가 작아 각각 약 1천 달러와 2천 달러 수준이었죠. BlockSec은 타임라인과 거래 링크도 함께 공유해 직접 상황을 확인할 수 있게 했어요. 궁금하시면 첫 번째 이더리움 거래나 Sonic 공격 세부사항을 확인해보세요!

결정적 증거: TornadoCash 연루

가장 흥미로운 부분입니다. BlockSec의 포렌식 분석에서 공격자의 이더리움 지갑이 TornadoCash를 통해 자금을 받았다는 사실이 밝혀졌습니다. TornadoCash는 암호화 거래를 섞어 출처를 숨기는 도구로, 과거 자금 세탁과 연관되어 법적 문제를 겪은 적이 있죠. 범죄 현장에서 지문을 발견한 것과 비슷한 증거라 할 수 있습니다!

Silo의 대응 (혹은 미흡한 대응)

Silo Finance는 핵심 스마트 계약은 안전하며, 문제는 자동 레버리지용 테스트 기능에 한정됐다고 발표했습니다. 문제의 기능을 중단하고 신속한 수정도 약속했죠. 하지만 BlockSec은 이를 ‘모호하다’고 평가하며 만족하지 않았습니다. 이런 대응은 Silo가 문제의 심각성을 완전히 인정하지 않는 듯한 인상을 줍니다. Chainalysis 같은 전문가들에 따르면, 약 40%의 DeFi 보안 침해 사건이 지연되거나 불명확한 공시로 신뢰 구축에 어려움을 겪고 있다고 하네요.

왜 중요한가?

이번 익스플로잇은 더 큰 문제, 즉 스마트 계약 보안 문제와 연결됩니다. 미국 국립표준기술연구소(NIST)는 DeFi 해킹의 15%가 파라미터 검증 부실 같은 실수에서 비롯된다고 밝혔습니다. 입력값을 제대로 확인하지 않아 이런 트릭들이 가능해지는 거죠. 이 사건은 DeFi 프로젝트들이 코드를 철저히 검증하고 외부 감사를 받는 게 얼마나 중요한지 경종을 울립니다.

시각적 증거

BlockSec은 발견 내용을 뒷받침하는 스크린샷도 포함했습니다. 보세요:

이 이미지는 여러 체인에서 이뤄진 공격자의 거래 내역을 보여줍니다. 조금 기술적이긴 하지만, 무슨 일이 있었는지 확실한 증거입니다.

앞으로의 전망

현재 Silo 팀은 시스템 복구에 집중하고 있으며, 암호화폐 커뮤니티는 상황을 주목하고 있습니다. DeFi에 투자하는 분이라면 믿는 프로젝트를 더욱 꼼꼼히 살펴보는 계기가 되었으면 합니다. 정기적인 감사와 강화된 보안 절차가 이런 문제를 예방할 수 있겠죠. 여러분은 어떻게 생각하시나요? Silo 같은 플랫폼들이 더 높은 책임을 져야 한다고 보시나요? 아래에 의견을 남겨주세요!