디파이(DeFi) 분야에서 최근 발생한 비너스 프로토콜(Venus Protocol) 해킹 사건은 오히려 공격자가 약 470만 달러(약 70억6500만원)의 손실을 본 결과로 귀결됐다. 해킹 사건은 블록체인 보안 감사업체 블록섹(BlockSec)의 분석에 따르면, 공격자가 장기간에 걸쳐 치밀하게 준비했음에도 불구하고 온체인 기준에서 손실을 입은 것으로 확인됐다. 디파이 시장의 해킹이 보통 즉각적인 금융 손실을 포함하는 것과는 달리, 이번 사건은 그 구조가 매우 복잡하고 미묘하다.

이번 공격은 공격자가 테나(Thena)의 THE 토큰을 9개월 동안 축적하는 것으로 시작됐다. 알레즈 랩스(Allez Labs)의 보고서에 따르면, 공격자는 토네이도캐시(Tornado Cash)를 통해 자금을 조달한 후, THE를 비너스의 담보 공급 한도를 초과할 만큼 확보했다. 그런 다음, 이 과도하게 높은 담보 가치를 활용해 약 1500만 달러 상당의 자산을 대출 받았다.

하지만 이 공격의 출구 전략에서 문제가 발생했다. 블록섹은 공격자가 총 992만 달러를 투입했으나, 청산이 완료된 후 남은 금액이 520만 달러에 그치면서 온체인 순손실이 약 470만 달러에 이른다는 분석을 내놓았다. 유동성이 얇은 시장 상황에서 대량의 담보 토큰이 매도되면서 가격 충격이 발생하고, 이는 공격자에게도 손실로 이어졌다.

흥미로운 점은 이 공격자가 오프체인에서 진정한 수익을 올렸을 가능성도 있다는 주장이 제기되고 있다는 점이다. 예를 들어, 중앙화 거래소 계정에서 THE 가격 변동을 활용하여 수익을 올렸을 가능성에 대한 해석이다. 실제로 한 보안 연구원은 이번 공격 흐름을 추적하며 THE를 공매도해 1만5000 달러의 수익을 기록했다고 주장하였다.

한편, 비너스 프로토콜에도 피해가 발생했다. 유동성이 얇은 시장에서 청산 봇들이 THE 담보를 대량으로 매도하면서 약 210만 달러(약 31억5600만원)의 부실채권이 발생했다. 알레즈 랩스는 이번 공격 벡터가 2023년 코드4레나(Code4rena) 감사에서 부분적으로 경고되었음에도 불구하고 '부정적 부작용이 없다'는 이유로 문제시하지 않은 점을 지적했다.

비너스 프로토콜은 BNB체인(BNB Chain·구 바이낸스 스마트체인)에서 가장 큰 대출 플랫폼으로, 현재 약 14억5000만 달러의 예치 자산 규모를 가지고 있다. 그러나 지난 3년간 반복된 해킹 및 위기 상황을 감안할 때, 이번 사건은 단순한 해킹 사건이 아니라 디파이 생태계 전반에 퍼진 구조적 리스크를 드러낸 것으로 평가된다.

비너스 프로토콜은 지난해 9월 2700만 달러 규모의 해킹 우려가 있었으나, 실제로는 한 사용자의 피싱 피해로 확인됐다. 이 외에도 오라클 공격으로 인한 부실채권 발생 사례가 여러 번 보고되었다. 이러한 반복적인 이슈들은 디파이 시장에서의 오라클과 담보 위험을 여실히 보여주고 있다.

결론적으로, 이번 비너스 프로토콜 공격은 디파이 해킹에 대한 기존 통념을 깨뜨림과 동시에, 담보 한도와 오라클, 유동성의 고질적인 취약점이 여전히 존재한다는 점을 각인시켰다. 공격자가 온체인에서 손실을 입었음에도 불구하고 별도의 오프체인 수익을 올렸을 가능성도 있는 만큼, 디파이 생태계에서의 리스크 관리와 구조 개선이 시급한 상황이다.