Edgen Crypto·Nov 30 2025, 22:54공격자가 Yearn Finance의 yETH(유동성 스테이킹 파생상품) 취약점을 악용하여 약 3백만 달러 상당의 이더리움을 토네이도 캐시 믹서를 통해 세탁했습니다. 이 사건은 분산형 금융(DeFi) 부문의 보안 취약점, 특히 점점 인기를 얻고 있는 유동성 스테이킹 토큰(LST)의 시스템적 위험에 대한 주목을 받고 있습니다.
Yearn Finance의 유동성 스테이킹 생태계 내 파생 상품인 yETH에 대한 명백한 공격으로 약 3백만 달러 상당의 이더리움(ETH)이 도난당했습니다. 악의적인 행위자는 이후 자산의 불법적인 출처를 모호하게 하기 위해 전체 자금을 분산형 암호화폐 믹싱 서비스인 Tornado Cash로 이전했습니다. 이 사건은 분산형 금융(DeFi) 부문이 직면한 지속적인 보안 문제를 강조하며, 수많은 프로토콜의 기초 담보가 된 유동성 스테이킹 토큰(LST)과 관련된 시스템적 위험에 대한 새로운 초점을 맞추고 있습니다.
보안 사고는 Yearn Finance의 유동성 스테이킹 토큰인 yETH를 표적으로 하는 익스플로잇으로 시작되었습니다. 침해 이후, 온체인 데이터는 약 3백만 달러 상당의 도난당한 자산이 Tornado Cash로 이동했음을 확인합니다. 이체는 추적을 복잡하게 만들기 위해 해커가 사용하는 일반적인 전술인 배치로 실행되었습니다. Tornado Cash의 사용은 공격자의 지갑과 초기 익스플로잇 간의 추적 가능한 연결을 끊기 위해 고안된 의도적인 자금 세탁 기술로, 자금 회수를 극도로 어렵게 만듭니다.
이 익스플로잇은 스테이킹된 암호화폐에 대한 청구권을 나타내는 금융 상품인 유동성 스테이킹 토큰(LST)에 중점을 둡니다. 이 경우 yETH는 Yearn Finance 프로토콜을 통해 스테이킹된 ETH를 나타냅니다. LST는 투자자가 유동성을 유지하면서 스테이킹 보상을 얻을 수 있도록 하여, 대출 및 차입 시장과 같은 다른 DeFi 애플리케이션에서 이러한 토큰을 담보로 배포할 수 있도록 합니다.
이러한 도구의 시스템적 중요성은 상당합니다. 데이터에 따르면 Lido의 stETH와 같은 주요 LST는 DeFi 생태계에서 담보의 상당 부분을 차지하며, Aave V2와 같은 플랫폼에서 예금의 약 33%를 차지하고 DeFi 대출 시장에서 95억 달러의 담보를 구성합니다. 그러나 여러 프로토콜에서 사용될 수 있는 구성 가능성은 잠재적인 공격 표면을 확장하기도 합니다. Yearn 사건에서 보았듯이, 다양한 스마트 계약 간의 복잡한 상호 작용에서 취약점이 발생할 수 있습니다.
이 익스플로잇의 즉각적인 영향은 Yearn Finance에 대한 투자자 신뢰와 더 나아가 관련 제품의 보안에 대한 타격입니다. 이러한 사건은 종종 프로토콜의 보안 감사 및 위험 관리 절차에 대한 강화된 조사를 유발합니다. 광범위한 시장의 경우, 특히 새롭거나 더 복잡한 파생 상품과 관련하여 DeFi 공간의 내재된 위험에 대한 중요한 알림 역할을 합니다. 이 사건은 사용자가 Lido와 같이 더 강력한 보안을 가진 것으로 인식되는 더 크고 더 확립된 LST 프로토콜로 자산을 통합하는 "품질로의 비행"으로 이어질 수 있습니다. 또한, Tornado Cash와 같은 믹서가 암호화폐 기반 불법 금융 경제에서 계속해서 핵심적인 역할을 한다는 점을 강조하며, 이는 규제 기관과 개발자가 계속해서 씨름해야 할 과제입니다.
이 공격은 고립된 현상이 아니라 DeFi 부문에서 발생하는 더 넓은 익스플로잇 패턴의 일부입니다. 핵심 이더리움 블록체인 자체는 안전하게 유지됩니다. 취약점은 애플리케이션 레이어, 즉 이러한 복잡한 금융 상품을 생성하는 스마트 계약 내에 있습니다. yETH 사건은 스마트 계약 버그, 소수의 노드 운영자와 관련된 중앙 집중화 위험, 프로토콜 거버넌스 취약성을 포함하는 LST와 관련된 더 넓은 위험 서사에 부합합니다. 유동성 스테이킹이 자본 효율성에 명확한 이점을 제공하지만, DeFi 구조에 빠르게 통합된다는 것은 단일 실패 지점이 전체 생태계에 연쇄적인 영향을 미칠 수 있음을 의미하며, 엄격한 보안 관행과 위험 다각화의 필요성을 강화합니다.