탈중앙화 거래소(DEX) 밸런서가 1억1600만달러(약 1340억원) 규모의 디지털 자산을 탈취당했다. 밸런서는 오픈제플린, 트레일오브비츠 등 4개 보안 기관으로부터 11건의 감사를 받았음에도 해킹을 막지 못해, 블록체인 업계에서 보안 감사의 신뢰성에 대한 논란이 제기되고 있다. 공격자는 스마트계약 접근 제어 결함을 이용해 스테이크드 이더(ETH) 기반 자산을 신규 지갑으로 이체했다.
Today, around 7:48 AM UTC, an exploit affected Balancer V2 Composable Stable Pools.
Our team is working with leading security researchers to understand the issue and will share additional findings and a full post-mortem as soon as possible.
Because these pools have been live… pic.twitter.com/LRLNNXogt3
— Balancer (@Balancer) November 3, 2025
밸런서는 11월 4일 공식 X(구 트위터)를 통해 “이번 공격은 V2 컴포저블 스테이블 풀(Composable Stable Pool)에 한정된 사안으로, 밸런서 V3 또는 다른 풀에는 영향이 없다”고 밝혔다. 이어 “유수의 감사 기관으로부터 다수의 감사를 받았으며, 장기간 버그 바운티 프로그램도 운영해왔다”며 “그럼에도 공격이 발생한 점은 유감”이라고 덧붙였다.
개발자 수하일 카카르(Suhail Kakar)는 “밸런서는 10건 이상의 감사를 받았고, 그중 금고(vault)는 3개 기관이 별도로 검토했음에도 1억1천만 달러가 해킹됐다”며 “이제 ‘누구의 감사를 받았다’는 문구만으로는 보안 신뢰성을 담보할 수 없다는 점을 인정해야 한다”고 지적했다.
밸런서의 깃허브(GitHub)에 공개된 자료에 따르면, 오픈제플린(OpenZeppelin), 트레일오브비츠(Trail of Bits), 세르토라(Certora), ABDK 등 4개 보안 기업이 2021년 이후 총 11건의 스마트계약 감사를 수행했다. 이 중 마지막 감사는 2022년 9월 트레일오브비츠가 스테이블 풀을 대상으로 진행했다.
해킹은 11월 4일 새벽 보고됐으며, 공격자는 스테이크드 이더(ETH, 가격 3577달러 기준) 기반 자산인 스테이크와이즈 OSETH, 래핑 이더(WETH), 리도 wSTETH 등을 포함해 약 1억1천6백만 달러 상당의 자산을 신규 생성된 지갑으로 이체했다. 블록체인 분석업체 넨센(Nansen)의 연구원은 “스마트계약 접근 제어(access check)에 결함이 있어 공격자가 인출 명령을 직접 실행할 수 있었던 것으로 보인다”고 분석했다.
밸런서 팀은 사건 직후 블록체인 트랜잭션 메시지를 통해 해커에게 “탈취 자산을 48시간 내 전액 반환할 경우 최대 20%의 화이트햇(white hat) 보상금을 지급하겠다”고 제안했다. 또 “협조하지 않을 경우 독립 블록체인 포렌식 전문가와 법집행기관, 규제 당국과 협력해 대응할 것”이라고 경고했다.
현재 밸런서는 추가적인 현금 회수 진행 상황이나 보상금 지급 여부에 대해 별도의 공지를 내놓지 않았다.
💡 주요 용어 설명
탈중앙화 거래소(DEX)란? 중앙화된 관리자 없이 스마트계약을 통해 자동으로 거래가 이루어지는 암호화폐 거래소. 사용자가 자산에 대한 완전한 통제권을 가짐.
자동화된 마켓메이커(AMM)란? 전통적인 주문장 방식 대신 유동성 풀을 활용해 자동으로 가격을 결정하고 거래를 체결하는 시스템. 유니스왑, 밸런서 등이 대표적.
컴포저블 스테이블 풀이란? 여러 스테이블코인이나 유사한 가치의 자산을 하나의 풀에 모아 효율적으로 거래할 수 있도록 설계된 유동성 풀.
화이트햇(White Hat)이란? 보안 취약점을 발견했을 때 악용하지 않고 해당 기업에 보고하는 윤리적 해커. 블랙햇(악의적 해커)의 반대 개념.
스마트계약 접근 제어란? 스마트계약에서 특정 기능을 실행할 수 있는 권한을 제한하는 보안 메커니즘. 예를 들어 자산 인출 기능은 관리자만 실행할 수 있도록 제한.
버그 바운티 프로그램이란? 보안 취약점을 발견하고 보고한 사람에게 보상금을 지급하는 프로그램. 해킹을 예방하고 보안을 강화하기 위한 목적.
자주 묻는 질문
Q: 감사를 11번이나 받았는데 왜 해킹이 가능했나요? 마지막 감사가 2022년 9월에 진행되어 2년 이상 재감사가 없었고, 스마트계약 접근 제어의 새로운 취약점이 발견되지 않았기 때문입니다. 이는 일회성 감사의 한계를 보여줍니다.
Q: 탈취된 자산은 회수될 수 있나요? 밸런서는 해커에게 48시간 내 자산 반환 시 20% 보상금을 제안했으나, 현재까지 공식 진행 상황은 공개되지 않았습니다. 블록체인 특성상 추적은 가능하나 회수는 해커의 협조 여부에 달려 있습니다.
Q: 디파이 프로토콜을 사용해도 안전한가요? 디파이는 탈중앙화의 장점이 있지만 스마트계약 취약점 리스크가 존재합니다. 대형 감사 기관의 최근 감사를 받았는지, 버그 바운티 프로그램이 활발한지, TVL(예치 자산) 규모는 적절한지 등을 확인해야 합니다.
Q: 보안 감사를 받았다는 게 무의미한 건가요? 아닙니다. 감사는 여전히 중요하지만, “감사를 받았다”는 사실만으로 100% 안전을 보장할 수 없다는 점을 인식해야 합니다. 정기적인 재감사와 실시간 모니터링이 함께 필요합니다.
About the Author
