580만 달러 해킹당한 루프스케일, 디파이 오라클의 치명적 허점
580만 달러 해킹당한 루프스케일, 디파이 오라클의 치명적 허점
디파이의 본질은 탈중앙화지만,
이 사건은 중앙 집중보다 더 무서운 게
'보안 부주의'일 수 있다는 걸 보여줍니다.
루프스케일, 신생 프로젝트의 실패는
결국 우리 모두에게 던지는 경고일지도 모르죠.
안녕하세요. 오늘은 제가 직접 분석한 루프스케일(Loopscale)
해킹 사건에 대해 이야기하려고 해요.
이 프로젝트는 솔라나 기반으로 주목받았고,
저도 출시 당시 기대를 많이 했던 플랫폼이었는데요.
그런데 출시 16일 만에 발생한 580만 달러 해킹 소식은 정말 충격이었어요.
제가 암호화폐와 디파이를 공부하면서 마주친 수많은 사건 중에서도,
이번 루프스케일 해킹은 기술적 허점과 대응의 부실이 얼마나
큰 피해로 이어질 수 있는지를 적나라하게 보여준 사례였습니다.
저처럼 디파이 보안에 관심이 있거나,
투자 중인 분들께 꼭 알아두셔야 할 이야기라 생각해서 정리해봤어요.
루프스케일 해킹 개요
2025년 4월 26일, 솔라나(SOL) 기반 디파이 대출
프로토콜 루프스케일(Loopscale)은 단일 오라클 가격 피드를
조작한 해커에게 580만 달러 상당의 자산을 탈취당했습니다.
프로젝트 론칭 후 단 16일 만에 발생한 이 사건은,
루프스케일의 제네시스 볼트 중 약 12%가 공격에
노출되는 심각한 결과를 낳았습니다.
당시 플랫폼에는 총 4천만 달러 규모의 자산이 예치되어 있었으며,
이는 곧바로 시장 신뢰 하락으로 이어졌습니다.
이 사건은 단순한 기술적 문제를 넘어,
초기 보안 전략의 부재가 어떤 파장을 일으킬 수 있는지
보여주는 대표적인 사례로 기록되고 있습니다.
오라클 조작, 어떻게 가능했나?
디파이에서 가장 취약한 지점 중 하나는 바로 오라클 시스템입니다.
루프스케일은 감사를 거쳤음에도 불구하고
가격 오라클 검증 메커니즘이 취약한 상태로 남아 있었고,
해커는 이를 정확히 노렸습니다.
아래 표는 공격자가 조작한 방식과
당시 시스템의 구조적 문제를 비교한 것입니다.
| 항목 | 내용 |
|---|---|
| 오라클 구조 | 단일 피드 의존 (RateX 기반) |
| 취약점 | 피드 검증 미비로 악의적 조작 가능 |
| 공격 방법 | 인터페이스 역설계 후 악성 피드 삽입 |
공격자의 구체적인 해킹 방식
이번 해킹은 단순한 코드 버그가 아닌,
철저히 준비된 공격이었습니다.
공격자는 루프스케일의 바이너리 코드에서
스마트컨트랙트 인터페이스를 분석한 뒤,
악의적인 오라클 피드를 배포했습니다.
이를 통해 담보가 충분하지 않은 대출을 반복 실행해 자산을 획득했고,
최종적으로 이더리움으로 브릿지해 외부 지갑으로 전송했습니다.
아래는 공격 과정의 핵심 단계입니다.
- 루프스케일 바이너리 코드 역설계
- 악성 오라클 피드 생성 및 삽입
- 담보 부족 대출 반복 실행
- 이더리움 브릿지를 통한 자금 이체
해커와의 협상, 자산 회수 과정
이번 사건에서 흥미로운 전개는 화이트햇 협상으로 이어졌다는 점입니다.
루프스케일 측은 해커에게 자산의 90%를 돌려주는 조건으로
10%를 '보상' 형태로 인정하는 제안을 했고,
해커는 이를 거절하며
20%를 요구
했습니다.
흥정이 오간 후 해커는 일부 자산을 반환하고,
며칠에 걸쳐 나머지 자산까지 모두 송금하며
결국 전체 금액이 복구됐습니다.
| 날짜 | 협상 내용 |
|---|---|
| 4월 26일 | 해킹 발생, 루프스케일 측 협상 시도 |
| 4월 27~28일 | 해커 일부 자산 반환, 협상 계속 진행 |
| 4월 29일 | 전체 자산 반환 완료 |
커뮤니티 반응과 신뢰 위기
자산은 회수됐지만, 신뢰는 회복되지 않았습니다.
커뮤니티는 루프스케일의 초기 보안 관리 및
대응 방식에 날 선 비판을 쏟아냈죠.
특히 수천만 달러의 자산이 들어있는 볼트를 운영하면서도
감사를 충분히 거치지 않았다는 점,
그리고 공개된 바이너리 구조를 그대로 둔 점에서
책임 회피성 운영
이라는 지적까지 나왔습니다.
- “사고 나기 전엔 방어를 하지 않는다”는 비판
- 루프스케일이 해커 보상 여부를 공개하지 않은 점에 대한 불신
- “보안보다 마케팅이 우선이었다”는 회의적 시선
루프스케일은 솔라나(Solana) 기반의 디파이 대출 플랫폼으로,
사용자는 암호화폐를 담보로 대출을 받을 수 있는 구조입니다.
단일 오라클 피드를 조작해 가격을 왜곡시킨 뒤,
담보 부족 대출을 반복 실행하는 방식으로 자산을 탈취했습니다.
네, 루프스케일은 해커와의 협상을 통해 자산 전체를 회수했다고 밝혔습니다.
단, 해커 보상에 대한 내용은 공개되지 않았습니다.
네, 오라클 조작은 디파이에서 가장 오래된 해킹 수법 중 하나이며,
충분한 검증과 다중 오라클 구조로 보완할 수 있습니다.
감사 보고서에서 오라클 관련 취약점이 이미 지적됐지만,
해당 부분은 실제 개선되지 않았던 것으로 보입니다.
프로토콜의 감사를 넘어서, 실질적인 보안 전략과
기술 구현 방식까지 스스로 검토하고 판단하는 것이 중요합니다.
디파이는 기회와 리스크가 공존하는 세계입니다.
이번 루프스케일 사태는 단순한 해킹 사건 그 이상이었고,
우리에게 큰 교훈을 남겼습니다.
보안은 선택이 아니라 필수입니다.
나도 투자자로서 이 사건을 계기로 많은 걸 다시 점검하게 됐어요.
여러분도 지금 투자 중인 프로젝트의 보안 체계,
진짜 믿을 수 있는지 꼭 확인해보시길 바랍니다.
우리 모두의 자산을 지키는 첫 걸음은 ‘의심’과 ‘점검’이라는 사실, 잊지 말아요.
함께 지켜봐요. 더 안전한 디파이 생태계를 위해!
'코인(Coin) 소식' 카테고리의 다른 글
| 네오(NEO), AI 결합 신제품과 동남아 결제 진출로 반등 노린다 (4) | 2025.05.06 |
|---|---|
| 비트코인, 97,800달러 돌파 실패…지지선 흔들릴까? (6) | 2025.05.05 |
| 벅스코인 암호화폐 신뢰를 이끄는 투명한 준비금과 영업 이익 시스템 (1) | 2025.04.30 |
| 비트코인 강세 신호? 코인베이스 대규모 출금과 수요 지표 분석 (1) | 2025.04.27 |
| 트럼프 디너를 둘러싼 TRUMP 코인 논란 (0) | 2025.04.25 |
댓글