급변하는 DeFi 세계에서는 헤드라인이 때로 과장되기 쉽습니다. 최근 BNB Chain의 인기 대출 플랫폼인 Venus에서 발생한 것으로 보도된 약 4천만 달러 규모의 익스플로잇 소식이 급속히 확산되었지만, DeFi 전문가 Ignas가 X에 공유한 자세한 AI 분석에 따르면 프로토콜 자체가 해킹된 것이 아니라 고래 지갑이 침해된 사건이었습니다. 이제 단계별로 무슨 일이 있었는지 살펴보겠습니다.

AI 분석이 밝혀낸 것

Ignas는 거래 세부 정보를 ChatGPT의 고급 모델에 입력했고, 5분 넘게 분석한 끝에 AI는 명확한 결론을 내렸습니다: Venus는 설계대로 작동했다. 문제는 이미 존재하던 approvals나 서명된 권한을 공격자가 악용한, 침해된 고래 지갑에 있었습니다.

AI 분석의 플레이바이플레이는 다음과 같습니다.

• 담보 잠금 해제를 위한 부채 상환: 공격자는 스마트 컨트랙트를 사용해 피해자의 vBTC 부채(약 306.897 BTCB)를 피해자를 대신해 상환했습니다. 이로 인해 담보가 잠금 해제되었고 공격자는 285.72 BTCB를 자신의 주소로 인출했습니다. 지갑 탈취에서 흔히 쓰이는 수법입니다.

• 대리 대출(대출자 표기와 실제 수령지 불일치)​: 이어서 공격자는 7.136백만 USDC를 빌렸고, 대출자 필드는 피해자로 설정되었으나 자금은 공격자에게 전달되었습니다. 대출 이벤트 로그에는 피해자가 대출자로 기록되지만, USDC 전송은 공격자의 컨트랙트(0x7fd8...로 시작)에 갔습니다. 이른바 "대리를 통한 대출/수령자 지정" 흐름은 Venus의 정상 기능이지만 여기서는 악용되었습니다.

• vTokens 상환(리딤)​: 공격자는 피해자의 vUSDT, vUSDC, vWBETH, vFDUSD 토큰을 상환했습니다. 이 vTokens(자산의 Venus 래핑 버전)는 피해자에서 Venus 계약으로 이동했으며, 기초 자산들은 공격자에게 지급되었습니다. 이는 공격자가 피해자 지갑으로부터 사전 권한(approvals)을 가지고 있었을 때만 가능했습니다.

익스플로잇 컨트랙트(0x7fd8...)는 공격 몇 시간 전에 또 다른 주소(0x0455...)에 의해 새로 배포된 것으로 나타나, Venus의 핵심 로직 결함이 아니라 준비된 드레이너(drainer)에 의한 행위임을 시사합니다.

손실은 $40M인가, $29M인가?

유통되는 숫자들 사이에는 다소 차이가 있습니다. 초기 X 게시물에서는 손실을 $40M으로 추정했지만, AI 계산은 약 $29M으로 나왔습니다. Ignas는 후속 게시물에서 어느 수치가 최종적으로 확인될지 호기심을 보였습니다. 어찌됐든 어느 쪽이든 큰 금액이며, 고액 자산 보유자에게 DeFi가 위험을 내포하고 있음을 부각합니다.

DeFi 사용자들을 위한 핵심 교훈

이번 사건은 중요한 보안 수칙을 다시 한 번 상기시켜 줍니다: 지갑 approvals를 신중하게 관리하세요. approvals는 누군가에게 금고의 열쇠를 주는 것과 같아, 컨트랙트가 사용자를 대신해 토큰을 지출할 수 있게 해줍니다. 만약 권한이 침해되면 공격자는 개인키를 모른 채로도 자금을 빼낼 수 있습니다.

• 정기적으로 approvals 취소하기: Revoke.cash나 Etherscan's Approval Checker 같은 도구로 불필요한 approvals를 검토하고 취소하세요. 특히 새로운 프로토콜과 상호작용한 후에 주기적으로 점검하는 것이 중요합니다.

• 하드웨어 월렛 사용: 큰 자산을 보관할 때는 Ledger나 Trezor 같은 하드웨어 월렛을 고려하세요. 트랜잭션에 추가적인 확인 단계가 생깁니다.

• 피싱에 경계하기: 많은 침해가 피싱에서 시작됩니다. URL을 다시 한 번 확인하고 시드 구문(seed phrase)은 절대 공유하지 마세요.

Venus 팀은 프로토콜 자체에는 문제가 없으며 bad debt가 발생하지 않았음을 확인했습니다. 이번 사건은 DeFi 프로토콜이 잘 검증되어 있더라도 사용자 측 보안이 똑같이 중요하다는 점을 상기시켜 줍니다.

DeFi 분석에서의 AI 역할

Ignas의 실험은 AI가 암호화폐 분야에서 어떻게 진화하고 있는지를 보여줍니다. 거래 데이터를 ChatGPT 같은 모델에 직접 입력함으로써 AI가 즉석에서 온체인 탐정 역할을 하는 모습을 보고 있습니다. 이런 접근이 신뢰할 만해진다면, 실시간 상황에서 수동 스마트 컨트랙트 감사의 필요성을 줄이고 익스플로잇 수사 방식을 혁신할 가능성이 있습니다.

더 자세한 내용을 보려면 original thread on X를 확인해 보세요. BNB Chain에서 밈 토큰이나 DeFi에 참여하고 있다면, 이번과 같은 사건들이 왜 지속적인 정보 습득이 안전한 활동의 핵심인지 잘 보여줍니다.