Balancer 해킹 발생 하루 만에 Moonwell이 해킹당했습니다

멀티체인 대출 프로토콜인 문웰(Moonwell)은 결함 있는 오라클과 가격 데이터를 통해 공격당했습니다. 이 플랫폼은 대규모 밸런서(Balancer) 해킹 사건 발생 하루 만에 약 100만 달러의 손실을 입었습니다. 

멀티체인 대출 프로토콜인 문웰(Moonwell)이 결함 있는 오라클 데이터를 통해 해킹당했습니다. 피해액은 약 100만 달러로 추산되었으며, 이는 더 큰 규모의 밸런서(Balancer) 해킹 사건 .

프로토콜에서 일련의 의심스러운 자금 유출을 trac 취약점 악용 가능성을 경고했습니다.

@Moonwell DeFi 의 #Base 및 #Optimism trac 을 대상으로 하는 일련의 의심스러운 거래를 감지했습니다 . 분석 결과, 오프체인 오라클의 토큰 가격(rsETH/ETH) 피드에 문제가 있었고, MEV 봇이 이를 악용한 것으로 보입니다. … pic.twitter.com/cNJFHI3xn3

— 블록섹 팔콘 (@Phalcon_xyz) 2025년 11월 4일

공격자는 가격 책정상의 결함을 이용하여 특정 유형의 래핑된 이더리움(wstETH)을 빌리고 거래했습니다. 이 공격은 20 wstETH를 빌리는 데 드는 비용과 0.00002 wstETH를 빌리는 데 드는 비용 사이의 가격 차이를 악용한 것입니다. 해커는 거래 시 이 차액을 챙겨 총 295 ETH의 수익을 올렸습니다. 

담보 금액이 적어 wstETH 거래가 즉시 발생했으며, 대출금은 같은 블록에서 상환되었습니다. 잘못된 가격은 오프체인 오라클에서 제공되었습니다. 

해커는 오라클이 wrstETH당 580만 달러라는 가격을 반환했기 때문에trac을 악용할 수 있었습니다. 거래 데이터에 따르면 Moonwell은 ChainLink사용했는데, ChainLink가 가격 책정 오류를 범한 것으로 보입니다. 

해커는 플래시론에 유리한 조건을 악용하고 이를 여러 번 반복하여 공격을 완료했습니다. 이 공격은 시장 선두주자인 ChainLink에서조차 오라클의 신뢰성에 대한 더 큰 문제를 제기합니다. 

문웰은 네 번째 주요 탐사를 완료했습니다

Moonwell은 여러 블록체인에 걸쳐 운영되는 비교적 오래된 DeFi 프로토콜입니다. 2025년 11월 기준으로, 이 프로토콜의 대출 금고에는 2억 1,300만 달러가 보관되어 있습니다. Moonwell은 Base, Optimism, Moonbeam, Moonriver 네트워크를 사용합니다. 

해당 프로토콜은 이전에도 공격을 받은 적이 있으며, 지난 3년 동안 4건의 취약점이 발견되었습니다. Moonwell은 Compound V2를 기반으로 개발된 포크 버전으로, Compound V2의 문제점 일부를 그대로 물려받았습니다. 

앞서 문웰은 10월 10일 부실 대출 사건으로 170만 달러의dent 을 입었습니다. 2024년 12월에는 또 다른 플래시론 공격으로 32만 달러의 손실을 경험했습니다. 2022년에는 브리지 취약점 공격으로 프로토콜에 손실이 발생하기도 했습니다. 

WELL 토큰이 취약점 공격 후 충돌합니다

문웰의 자체 토큰인 WELL은 해킹 소식이 전해진 후 급락했습니다. WELL은 15% 이상 하락하여 0.011달러까지 떨어졌습니다. 다른 해킹 사건들과 마찬가지로, 평판 손상과 토큰 가격 폭락으로 인한 손실은 해킹 자체로 인한 손실보다 훨씬 더 큽니다. 

이번 취약점 공격으로 문웰의 평판이 실추되었고, 스테이블코인 보관소에서 뱅크런이 발생했습니다. 사용자들이 USDC를 인출하면서 실효 연이율(APY)이 최대 168%까지 치솟았습니다. 문웰 보관소에서의 뱅크런은 월요일에 발생한 밸런스(Balancer)의 인출 사태에 이은 것입니다. 

문웰 팀은 해킹 사건 발생 후 몇 시간 동안 아무런 언급도 하지 않았습니다 dent 이번 공격은 10월 10일 공격과 유사한 것으로 보이며, 이는 프로토콜 측에서 아직 수정 조치를 취하지 않았음을 의미합니다. 온체인 데이터에 따르면 유사한 공격으로 인해 가격 오류가 발생하여 269 ETH가 유출되었을 가능성이 있지만, 당시 팀이나 연구원들은 해당 인출 사실을 인지하지 못했습니다.

문웰은 여러 차례 보안 감사를 받았다고 주장하지만, 이러한 감사에도 불구하고 추가 해킹을 막지는 못했습니다. 웹3 프로토콜에 대한 공격 빈도는 낮은 편이지만, 최근 발생한 사건들은 Ethereum 생태계가 더 큰 규모의 거래와 가치를 보호해야 하는 과제를 안고 있을 때 여전히 위험에 노출되어 있음을 보여줍니다.