손실 5천만 초과, 창립자가 고급 주택 구매로 사기 혐의, "수逆기"의 Curve에 구제가 있을까?

저자: 시유, ChainCatcher

오늘, Curve 플랫폼의 자금 풀 공격이 암호화폐 시장의 헤드라인 뉴스가 되었습니다. 현재까지 Curve 플랫폼에서의 자금 풀 손실은 5200만 달러에 달합니다.

7월 31일, DeFiLlama의 데이터에 따르면, Curve 플랫폼에서 잠금된 암호화 자산의 가치는 17억 달러로, 2021년 1월 이후 최저치를 기록했으며, 24시간 내 자산 규모가 약 50% 감소했습니다. DeFi 애플리케이션에서 TVL 순위는 10위권 밖으로 떨어져 현재 11위를 기록하고 있습니다.

Curve의 공격 사건은 연쇄 반응을 일으켜 여러 DeFi 애플리케이션에 영향을 미쳤습니다. CRV 토큰 가격의 급격한 변동은 잠재적인 온체인 청산 위기를 숨기고 있습니다. 그 중, 대출 플랫폼 Aave는 CRV 대출 기능을 비활성화했으며, 일부 사용자는 사용자가 CRV를 빌려 악의적으로 공매도하여 연쇄 청산을 촉발하는 것을 방지하기 위한 것이라고 추측하고 있습니다. 한국 거래소 Upbit은 CRV 가격 변동성이 크기 때문에 CRV 토큰의 입출금을 중단한다고 발표했습니다.

이번 사건은 Curve의 가장 어두운 순간이라 할 수 있으며, 이번에도 이전처럼 순조롭게 위기를 극복할 수 있을까요?

공격 사건이 여러 DeFi 애플리케이션에 영향을 미치고 있으며, 어떤 잠재적 위험이 있을까요?

현재 Curve 공식 웹사이트를 열면 가장 먼저 사용자에게 보이는 것은 Vyper 취약점 관련 자금 풀 보안 경고입니다: Vyper 재진입 잠금 오류로 인해 Vyper 0.2.15, 0.2.16 및 0.3.0을 사용하는 자금 풀이 공격을 받았으며, 이 자금 풀의 유동성이 고갈되었습니다. 팀은 영향을 받은 상황을 평가하고 있습니다. 영향을 받은 자금 풀에는 alETH/ETH, msETH/ETH, pETH/ETH 및 CRV/ETH가 포함되며, 나머지 자금 풀은 영향을 받지 않았습니다.

Curve 자금 풀 공격 사건은 여러 DeFi 애플리케이션에 영향을 미쳤습니다. 패턴 모니터링 통계에 따르면, 현재까지 이번 공격으로 누적 손실은 약 5200만 달러에 달합니다.

그 중, NFT 대출 프로토콜 JPEG'd에서 발행한 pETH가 Curve에서 구성된 pETH-ETH 풀에서 약 1100만 달러의 손실을 입었으며, pETH 가격이 탈동조되었습니다. 현재 가격은 862달러입니다; DeFi 대출 프로토콜 Alchemix의 alETH-ETH 풀은 공격을 받아 약 1300만 달러의 손실을 입었으며, 현재 alETH 가격은 1246달러로 여전히 탈동조 상태입니다; DeFi 합성 자산 프로토콜 MetronomeDAO의 msETH/ETH 풀은 약 160만 달러가 도난당했으며, Metronome 메인넷 기능이 중단되었습니다; Curve의 CRV/ETH 자금 풀에서 도난당한 자금은 1000만 달러를 초과했습니다; DEX 플랫폼 Ellipsis는 6.8만 달러의 손실을 입었으며; 크로스 체인 애플리케이션 deBridge는 2.4만 달러의 손실을 입었습니다.

동시에, Curve의 네이티브 토큰 CRV 가격은 온체인에서 급격한 변동을 보였으며, Uniswap의 CRV/WETH 거래 쌍은 짧은 시간(7월 31일 3시경) 내에 0.03달러로 급락하여 거의 제로에 가까워졌습니다. 현재 가격은 약 0.63달러로 회복되었습니다.

오늘, 한국 최대 거래소 Upbit은 Curve의 일부 스테이블코인 풀이 공격을 받아 CRV의 변동성이 커져, 현재 Curve(CRV) 충전 및 출금 서비스를 중단한다고 발표했습니다.

CRV 가격의 급격한 변동은 항상 사용자들의 마음을 불안하게 합니다. 온체인에 대량의 CRV 담보 포지션이 있기 때문에, CRV 가격이 일정 수준 이하로 떨어지면 대량의 CRV가 청산될 위험이 있으며, 이는 자산에 치명적인 나선형을 초래할 수 있습니다.

그 중 가장 주목받는 것은 Curve 창립자 Michael Egorov의 포지션입니다. 사용자들은 그가 보유한 막대한 CRV 포지션이 청산될지 여부와 그로 인한 연쇄 반응에 대해 우려하고 있습니다.

연구원 0xLoki의 트윗에 따르면, Michael Egorov은 Aave, FRAXlend, Abracadabr, Inverse 등 대출 플랫폼에서 총 2억 9200만 CRV를 담보로 제공했으며, 이는 1억 8100만 달러의 가치가 있으며, 1억 1000만 달러의 자금을 빌렸습니다. 그의 종합 청산 가격은 약 0.4달러 근처입니다.

그 중 Aave에서의 포지션이 가장 크며, 1억 9000만 CRV를 담보로 제공하고 6500만 달러를 빌렸으며, 청산가는 0.37달러입니다. 다음으로 FRAXlend에서 4600만 CRV를 담보로 제공하고 2100만 FRAX를 빌렸으며, 청산가는 0.4달러입니다; Abracadabr에서는 4000만 CRV를 예치하고 1800만 달러를 빌렸으며, 청산가는 0.39달러입니다; Inverse에서는 1600만 CRV를 예치하고 700만 달러를 빌렸으며, 청산가는 0.4달러입니다.

만약 CRV가 0.4달러 이하로 떨어지면, 3억 CRV가 모두 청산될 것입니다.

하지만 온체인 가격을 보면 CRV가 한때 0.03달러로 떨어졌음에도 불구하고 왜 아무 CRV 포지션도 청산되지 않았을까요? 이는 주로 대출 프로토콜이 Chainlink 오라클을 사용하여 가격을 제공하기 때문입니다. Chainlink의 가격 제공 메커니즘은 단일 온체인 데이터나 특정 DEX에 기반하지 않고, 온체인(DEX)과 오프체인(CEX) 데이터를 가중 평균하여 가격을 제공합니다.

이번 CRV의 경우, CEX인 바이낸스와 OKX에서의 가격은 0.03달러에 도달하지 않았기 때문에, Chainlink는 0.03달러를 가격으로 제공하지 않았고, 가중 평균 가격은 0.59달러로 나타났습니다.

바로 이러한 Chainlink의 가격 제공 메커니즘 차이로 인해 CRV는 단기적인 온체인 비정상 가격에 직면했을 때 담보 포지션이 청산되지 않았습니다.

현재 Aave는 CRV 대출 기능을 비활성화했으며, 일부 사용자는 거래자들이 Curve의 취약점 사건을 이용해 공황 상태에서 CRV를 빌려 악의적으로 공매도하여 연쇄 청산을 촉발하는 것을 방지하기 위한 것이라고 추측하고 있습니다. 현재 Aave에는 약 2억 9100만 CRV가 공급되어 있으며, 그 중 약 95%는 Curve 창립자 Michwill의 예치에서 나왔습니다. 지난 몇 시간 동안, 창립자 Michwill은 일부 부채 자금을 상환하고 CRV 담보를 늘렸습니다.

이더리움 계약 언어 Vyper 취약점으로 인한 공격

Curve의 이번 공격 사건은 매우 광범위하게 영향을 미치며, 사용자들의 관심이 매우 높습니다. 그러나 다행히도 Curve가 해커의 공격을 받은 것은 자체 계약의 취약점 때문이 아니라, 기본 레이어인 이더리움 스마트 계약 프로그래밍 언어의 문제 때문입니다.

Curve의 스테이블 풀이 공격을 받은 후, 7월 31일, 이더리움 프로그래밍 언어 Vyper는 Vyper 0.2.15, 0.2.16 및 0.3.0 버전의 재진입 잠금이 무효화되었다고 발표했습니다. Curve에서 공격을 받은 자금 풀(alETH/msETH/pETH)은 Vyper 0.2.15로 배포되었습니다.

Vyper는 Python 계열의 이더리움 스마트 계약 개발 언어로, 2017년에 만들어졌습니다. 현재 일반적으로 사용되는 이더리움 스마트 계약 작성 언어인 Solidity와 비교할 때, 이 언어는 Python 계열 언어에 익숙한 개발자에게 더 쉽게 접근할 수 있습니다. 이더리움 창립자 비탈릭은 트윗에서 Vyper가 점차 더 발전된 이더리움 고급 언어로 자리 잡고 있다고 언급했습니다. Vyper로 작성된 프로젝트의 예로는 Uniswap v1 및 Curve 등이 있습니다.

이번 Vyper에서 언급된 재진입 잠금 기능의 무효화로 인해 악의적인 사용자는 계약에 여러 번 재진입하여 단일 거래에서 여러 기능을 반복적으로 실행할 수 있으며, 이로 인해 무단 작업이나 자금 도난이 발생할 수 있습니다.

현재 Vyper의 새로운 버전은 존재하는 취약점을 수정했지만, Curve가 공격받은 몇 개의 자금 풀 계약은 업그레이드가 불가능합니다.

이번 해커 공격 사건의 주범은 사실 Curve 자체가 아니라 기본 프로그래밍 언어 Vyper입니다. 이는 사용자들에게 안도의 한숨을 주는 동시에, DeFi 애플리케이션을 지원하는 기본 레이어의 보안성에 대한 더 큰 우려를 불러일으켰습니다. 애플리케이션 문제보다 기본 언어의 취약점이 더 두려운 이유는, 기본 레이어의 취약점이 초래하는 재앙이 체인 상 생태계에 치명적인 영향을 미치기 때문입니다. 이는 종종 여러 연쇄 반응을 일으키며, 재구축 과정이 더욱 어려워질 수 있습니다(예: Curve에서 공격받은 자금 풀 계약이 프로그래밍 언어 업그레이드 버전을 지원하지 않음 등). 반면, 단일 애플리케이션의 문제는 대개 통제 가능한 범위 내에 있습니다.

다행히 이번 문제는 Solidity가 아니라 아직 그렇게 대중적이지 않은 Vyper에서 발생했습니다.

암호화 KOL CM은 트윗에서 "Curve가 해킹당했으며, Vyper의 기술적 문제는 마치 불을 끄는 것과 같다. 이는 프로토콜 자체나 스마트 계약 설계의 문제가 아니다. 만약 Solidity도 같은 문제가 발생할 가능성이 있다면, 체인 상의 모든 애플리케이션도 안전할 수 없다. 그래서 여러분이 DeFi가 존재하지 않는다고 말하는 것은 그리 심각하지 않으며, 더 비극적인 것은 블록체인이 존재하지 않는 것이다."라고 밝혔습니다.

그러나 일부 사용자는 이것이 절대적인 안전이 없다는 진리를 증명한다고 언급했습니다. 스마트 계약이 가져다주는 이점을 누릴 때, 그에 상응하는 대가를 치러야 한다는 것입니다.

"재난이 끊이지 않는" Curve가 이번 풍파를 넘길 수 있을까요?

비록 공격의 원인이 프로젝트 자체의 계약과는 관련이 없지만, Curve는 여전히 비난의 대상이 되었습니다.

일부 사용자는 이번 사건이 프로그래밍 언어의 문제임에도 불구하고 Curve가 이 책임을 피할 수 없다고 생각하며, 감사가 부족하고 자금 풀이 사용하는 프로그래밍 언어에 대해 사용자에게 적극적으로 알리지 않았다고 지적합니다. 그러나 다른 사용자들은 이번 사건이 오히려 Curve 스마트 계약의 보안성을 검증했다고 주장합니다. 왜냐하면 다른 자금 풀이 모두 Vyper를 사용하지 않았고, 위험을 분산시켰기 때문입니다.

종합적으로 볼 때, 이번 블랙스완 사건은 Curve 플랫폼에 부정적인 영향이 긍정적인 영향보다 더 많습니다.

올해 Curve에게는 "재난이 끊이지 않는" 해라고 할 수 있습니다.

먼저 5월 말, Michael Egorov가 언론에 의해 아내 Anna Egorova와 함께 멜버른에서 두 채의 고급 주택을 구매한 사실이 보도되었으며, 총 4100만 달러를 지출하고 면적은 4251㎡에 달했습니다.

그 후 6월 초, Curve 창립자 Michael Egorov는 ParaFi, Framework Ventures 및 1kx와 같은 유명 암호화 VC에 의해 상업 사기로 고소당했습니다. 이들은 그가 2020년에 Curve에 100만 달러를 투자한 후, Michael Egorov가 이 투자금을 Curve의 유동성 풀에 예치했으며, 세 개의 VC는 어떤 상업적 수익도 얻지 못했다고 주장했습니다. CRV 토큰을 받지도 못했고 환불도 받지 못했다고 지적했습니다. 또한 Michael Egorov가 Curve에 대한 통제권을 포기할 의도가 없으며, Curve DAO에 권한을 넘기지 않고, 예상보다 더 많은 CRV를 잠금하여 압도적인 통제권을 유지하고, 스테이킹을 통해 보상 수익을 얻으면서 일부 토큰을 매각했다고 주장했습니다.

그 후 사용자는 창립자 Michael Egorov가 CRV 유통량의 3분의 1 이상을 보유하고 있다는 사실을 밝혀냈습니다. 그가 Aave에서 담보로 제공한 CRV 토큰의 총량은 2억 9100만 개에 달하며, 이는 CRV 유통 공급량의 34.15%를 차지합니다. 사용자들은 Curve 창립자가 저비용으로 현금화하고 있다고 생각합니다.

Aave에서 담보로 제공된 2억 9100만 CRV는 사용자들에 의해 집단적으로 CRV를 공매도할 수 있는 잠재적 위험으로 여겨지고 있습니다. 이는 Curve 생태계와 Aave 프로토콜 모두에 큰 위협이 되며, 사용자들은 CRV가 청산되어 치명적인 나선형에 빠질 것을 우려하고 있습니다. 이번 블랙스완 사건이 해당 포지션의 청산을 초래하지는 않았지만, 사용자들의 우려를 다시 불러일으켰습니다. 시장의 위험은 예측할 수 없으며, 극단적인 사건이 발생하면 이 3억 개의 CRV 포지션이 초래하는 영향은 예측할 수 없게 됩니다.

비록 이후 스테이블코인 crvUSD의 출시와 데이터 증가로 사용자들이 창립자에 대한 여론의 파장을 점차 잊게 되었지만, 잇따른 사건들은 Curve에게 여전히 큰 타격이었습니다. 이번 공격 후, Curve는 이전처럼 빠르게 회복할 수 있을까요?

공정하게 말하자면, 최근의 사건들은 창립자 문제나 스마트 계약 언어의 취약점으로 인한 공격이 프로젝트 자체의 운영과 직접적인 관계가 없으며, 진정으로 분산형 프로젝트에 치명적인 위협을 가할 수 없다는 것입니다. 오늘, 우기한은 CRV를 바닥에서 매수했다고 트윗하며 Curve를 지지하며 "다가오는 RWA 물결 속에서 CRV는 가장 중요한 인프라 중 하나"라고 밝혔습니다.