Goldfinch Finance 사용자 deltatiger.eth가 해킹당해 지금까지 33만 달러가 도난당했습니다.

블록체인 보안 플랫폼 PeckShield에 따르면, Ethereum기반 DeFi 플랫폼인 Goldfinch Finance의dent된 사용자가 약 33만 달러의 손실을 초래하는 악용 사례를 겪었습니다.

PeckShieldAlert는 화요일 X일에 Goldfinch 사용자 deltatiger.eth의 공격자가 Ethereum의 오래된 스마트trac을 해킹한 후 약 118 ETH를 Tornado Cash 로 보냈다고 보고했습니다.

0x0689aa2234d06Ac0d04cdac874331d287aFA4B43으로 식별dent손상된trac을 통해 가해자는 deltatiger의 지갑을 장악하고 자금을 인출할 수 있었습니다.

#PeckShieldAlert @goldfinch_fi의 사용자 deltatiger.eth @deltatigernz 가 사이버 공격을 받아 약 33만 달러의 손실이 발생했습니다.

해커는 달러를 도난당한 자금 #TornadoCash.

🚨이 계약에 대한 승인을 즉시 *취소*해 주십시오trac… pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2025년 12월 2일

취약점은trac의 collectInterestRepayment() 함수에 존재하는데, 이 함수는 승인된 모든 주소에서 USDC를 이체할 수 있습니다. 공격자는 1,000 USDC를 입금하고 주가를 인위적으로 부풀린 후 반복적으로 자금을 인출한 것으로 알려졌습니다.

경고했습니다trac계속 사용하고 있으므로, 해커의 추가 토큰 탈취를 막기 위해 사용자들에게 "계약에 대한 모든 승인을 즉시 취소" Tornado Cash 훔친 토큰을 자금 세탁하기 위해 

deltatiger와 Goldfinch에서는 아직까지 아무런 업데이트가 없었고, 두 기관 모두 오늘 오전 9시 30분 UTC경 공격이 발생한 후 공격자가 자신들과 통신했는지 여부를 공개하지 않았습니다.

Goldfinch Finance의 분산형 대출 방식에 결함이 있음

Goldfinch Finance는 a16z Crypto와 Coinbase Ventures를 포함한 암호화폐 산업의 주요 업체가 지원하는 분산형 금융(DeFi) 프로토콜입니다. 

대부분의 암호화폐 대출 플랫폼과는 달리, 골드핀치는 차용인에게 담보 제공을 요구하지 않습니다. 대신, 차용인은 후원자와 감사인의 검토를 위해 대출 제안서를 제출할 수 있으며, 승인 됩니다. 유동성 공급자, 후원자, 감사인은 보상으로 이자를 받는 반면, 차용인은 담보 제공 없이도 자본에 접근할 수 있습니다. 

이 프로토콜은 2021년 2월 Ethereum 에서 출시되어 초기에는 100만 달러 상당의 대출을 발행했습니다. 버전 1.1은 한 달 후인 2021년 3월에 출시되었고, 골드핀치는 몇 달 후 앤드리슨 호로비츠로부터 1,100만 달러의 투자를 유치했습니다. 2021년 10월, 이 플랫폼은 넥서스 뮤추얼과 파트너십을 맺어 유동성 공급자와 후원자가 스마트trac보험을 구매할 수 있도록 했습니다. 

Coingecko의 토큰 터미널에 따르면, Goldfinch 프로토콜의 완전 희석 시가총액은 3,050만 달러이고, 지난 30일 동안 토큰 거래량은 1,240만 달러이며, 활성 대출 총액은 9,130만 달러입니다.

2023년에 동아프리카의 오토바이 금융 회사인 투겐데 케냐(Tugende Kenya)는 우간다에 있는 모회사에 대출 조건을 위반하여 승인되지 않은 대출을 제공한 혐의로 500만 달러 규모의 암호화폐 대출을 채무 불이행했습니다.

골드핀치의 모회사인 워블러 랩스는 투겐데 케냐가 모회사로 거의 200만 달러를 횡령했다는 사실을 발견했습니다. 이 침해 사실은 그해 12월에 공개되었지만, 회사 기록에 따르면 2024년 2월 골드핀치 거버넌스 포럼에 보고된 것으로 보입니다.

싱가포르에 본사를 둔 사모금융 회사인 렌드 이스트(Lend East)가 2024년에 또 다른 채무 불이행을 겪었는데, 렌드 이스트는 골드핀치 풀에서 빌린 1,015만 달러 중 약 425만 달러만 상환할 수 있다고 밝혔습니다. 이는 상환액의 58%에 해당하는 금액으로, 골드핀치의 전체 활성 대출의 7.7%를 차지했습니다. 

렌드 이스트(Lend East) 풀은 2024년 4월 3일 만기되는 25개월 만기로, 17% USDC 연이율(APY) 또는 28% GFI 연이율(APY)을 제공했습니다. 디스코드 커뮤니티 회원들은 골드핀치(Goldfinch)에서 빌린 75만 달러가 다른 차용자에게 상환하는 데 사용되어 원래 대출 계약을 위반했다고 주장했습니다.

12월, DeFi 프로토콜 해킹으로 인한 손실 발생

골드핀치의 해킹은 이어른 파이낸스의 yETH가 무제한 발행 공격을 받아 단 한 번의 거래로 전체 yETH 풀이 고갈된 지 불과 24시간 만에 발생했습니다. Cryptopolitan의 보도, 공격자들은 거의 무한대에 가까운 yETH 토큰을 생성하여tracCashCash CashCashCashCash CashCash.

yETH는 Ethereum 유동성 스테이킹 파생상품(LST)으로 알려진 여러 가지 유동성 스테이킹 ETH 버전을 기반으로 하는 인덱스 토큰입니다. X 사용자 Togbe는 Yearn, Rocket Pool, Origin, Dinero를 포함한 LST에서 "대량 거래"가 발생했다고 지적하며 이 취약점을 지적했습니다.

Yearn Finance는 공식 X 계정을 통해dent 확인했지만, V2 및 V3 볼트는 안전하다고 사용자들에게 확신시켰습니다. 이는 2021년 Yearn의 yDAI 볼트 침해로 280만 달러의 손실을 입었고, 2023년 12월에는 잘못된 스크립트로 재무부 포지션의 63%가 손실된 이후 두 번째 공격입니다.

블록체인 보안 기업 서티크(CertiK)는 일요일(현지시간) 발표에서 암호화폐 업계가 해킹 및 악용 고 밝혔습니다. 서티크의 월간 위협 보고서에 따르면 실제 피해액은 1억 7,200만 달러를 넘어섰지만, 이후 약 4,500만 달러는 복구되었습니다.