BitcoinWorld
키 손상 후 보상 시스템 악용으로 Fluid가 $215,000 손실
탈중앙화 금융 프로토콜인 Fluid는 이번 주 초 이더리움 기반 보상 분배 시스템이 악용된 뒤 약 $215,000을 잃었다고 DeFi 위험 인텔리전스 플랫폼 BlackHart의 보고서가 전했다. 이번 사고는 스마트 계약 코드의 결함이 아니라 운영 키가 탈취된 데서 비롯되었다.
악용 전개 과정 공격자는 프로토콜 내에서 보상 리스트를 생성하고 승인하는 데 사용되는 두 개의 운영 키를 장악했다. 이를 이용해 자신이 통제하는 단일 주소로 모든 보상이 지급되도록 보상 리스트를 등록·승인했으며, 이후 자금을 청구하고 신속히 이동시켰다. Fluid는 이번 악용이 대출 시장, 금고, 탈중앙화 거래소 또는 사용자 예금에는 영향을 미치지 않았다고 확인했다.
도난당한 자산에는 112,883 FLUID 토큰, 47,903 GHO, 소량의 cbBTC가 포함되었다. 공격자는 이 자산들을 이더로 교환한 뒤, 거래 흐름을 은폐하기 위해 흔히 사용되는 프라이버시 도구인 Tornado Cash를 통해 자금을 전송했다.
대응 및 복구 Fluid는 탈취된 키를 교체하고 남은 보상 자금을 안전한 주소로 이동시켰다고 밝혔다. 프로젝트 측은 이번 사고가 보상 분배 시스템에만 국한됐으며 핵심 프로토콜 기능은 정상적으로 운영되고 있다고 강조했다. 이번 악용은 DeFi에서 오프체인 운영 인프라 보안이 지속적인 취약점임을 보여준다.
DeFi 사용자에게 중요한 이유 스마트 계약 감시는 표준 절차이지만, Fluid 사건은 키 관리 역시 동일하게 중요함을 강조한다. 관리 키가 탈취되면 가장 철저히 감시된 코드조차 우회될 수 있다. 사용자 입장에서는 다중 서명 거버넌스, 타임락, 탈중앙화 키 관리와 같은 방식을 채택해 단일 실패 지점을 최소화하는 프로토콜을 선택하는 것이 중요하다.
도난 자금을 세탁하기 위해 Tornado Cash를 사용한 점은 프라이버시 도구에 대한 규제 감시가 다시 부각되는 계기가 된다. 특히 2022년 미국이 해당 플랫폼에 제재를 가한 이후 더욱 그렇다. 이번 사건은 DeFi 프로토콜이 투명성과 운영 보안 사이의 균형을 어떻게 맞출지에 대한 논의를 촉발할 수 있다.
결론 Fluid 악용 사례는 DeFi 보안이 스마트 계약 감사를 넘어서는 영역임을 일깨운다. 산업이 성숙해짐에 따라 견고한 키 관리와 운영 보안 관행이 사용자 신뢰를 유지하고 유사한 침해를 방지하는 데 필수적이다. Fluid는 즉각적인 시정 조치를 취했지만, 이번 사건은 코드 취약점이 아닌 관리 인프라를 노린 공격이 늘어나고 있음을 보여준다.
자주 묻는 질문 Q1: Fluid 악용이 스마트 계약 버그 때문인가요? 아니요. 공격자는 보상 리스트를 생성·승인하는 데 사용되는 두 개의 운영 키를 탈취했으며, 스마트 계약 코드 자체의 취약점은 없었습니다.
Q2: 사용자 예금이나 대출 시장에 영향을 미쳤나요? Fluid는 대출 시장, 금고, DEX 및 사용자 예금이 영향을 받지 않았다고 확인했습니다. 오직 보상 분배 시스템만이 악용되었습니다.
Q3: 공격자는 도난 자금을 어떻게 세탁했나요? 공격자는 도난된 자산을 이더로 교환한 뒤, 거래 흐름을 은폐하는 프라이버시 믹서인 Tornado Cash를 통해 자금을 전송했습니다.
이 게시물 키 손상 후 보상 시스템 악용으로 Fluid가 $215,000 손실은 최초로 BitcoinWorld에 게재되었습니다.