최근 디파이(DeFi) 대출 프로토콜이 오라클 설정 오류를 이용한 해킹 공격으로 인해 총 350만 달러(약 50억 2,565만원) 규모의 자산이 탈취당했다. 가장 최근의 공격은 플루토스 머니(Ploutos Money)라는 대출 플랫폼에서 발생했으며, 오라클의 오작동으로 약 40만 달러(약 5억 7,436만원)가 유출된 것으로 보인다.

보안 업체 서티케이(CertiK)는 이 프로토콜이 웹사이트와 소셜미디어 흔적을 삭제한 정황을 밝혀냈다. 블록체인 보안 감사 업체 블록섹(BlockSec)의 분석에 따르면, 플루토스 머니는 스테이블코인 USDC 가격을 체인링크(LINK)와 비트코인(BTC)/달러 피드로 잘못 연결했다. 이 '오라클 미스컨피규레이션'을 악용한 해커는 USDC 8개만 예치하고도 이더리움(ETH) 187개를 대출받는 데 성공했으며, 이는 공격자가 설정 변경사항을 면밀히 모니터링했음을 시사한다.

해킹 사건은 단발성이 아니며, 가명 조사관인 타누키42(Tanuki42)는 이번 공격이 최소 4건의 과거 해킹 사건과 연결될 수 있음을 지적했다. 문웰(Moonwell)에서 발생한 경우, 오라클이 cbETH 가격을 잘못 반환함으로써 180만 달러(약 25억 8,462만원)의 부실채권이 발생하였으며, 이 사고 역시 내부자 연루 가능성을 의심케 하는 정황이 있다.

또한, 이더리움 기반의 '프라이빗 ZK 복권' 프로젝트 FOOM CASH도 비슷한 공격을 당해 160만 달러(약 22억 9,744만원)를 잃었다. ZK 검증기가 설계 및 적용에 오류가 있어 누구나 검증 방정식을 계산할 수 있는 상황이 되었으며, 가격 변동성을 악용하는 해커들이 기승을 부리고 있다.

이번 사건들을 통해 드러난 핵심 문제는 디파이 대출 프로토콜의 오라클 설정이나 검증기 구현 같은 기본 요소의 작은 오류가 큰 규모의 자금 유출로 직결된다는 점이다. 오라클 가격정보에 대한 높은 의존도와 함께, 설정 변경 이후 즉시 발생할 수 있는 운영 리스크를 방지하기 위한 다양한 점검 체계가 필요하다.

디파이 생태계에서는 단순히 유망한 프로토콜에 자산을 맡기는 것이 아니라, 각 프로토콜의 구조와 작동 메커니즘을 이해하고 해당 시스템의 리스크를 스스로 점검할 수 있는 능력이 상승해야 할 시점이다. 이를 위해 사용자들은 오라클 구성, 업그레이드 이력, 이상치 방어 장치 등을 철저히 점검해야 하며, 심지어 다중 오라클의 도입과 같은 추가적인 안전장치도 고려해야 한다.

디파이에서 필요로 하는 것은 단지 투기가 아니라, 검증 가능한 기준으로 자신의 자산을 지키는 실력이 중요한 시대가 오고 있다. 따라서 자산을 안전하게 관리하기 위해서는 이와 같은 사고를 예방하며 지속적으로 배워 나가는 것이 필수적이다.