Yearn Finance, 멀티시그 스크립트 오류 발생으로 재무부에 140만 달러 손실 발생

수익률 파밍(yield-farming) 분야의 주요 업체인 Yearn Finance는 최근 멀티시그(multisig) 스크립트에서 심각한 오류를 발견했다고 보고했습니다. 이 오류로 인해 의도치 않은 자산 이전 및 교환이 발생하여 약 140만 달러의 손실이 발생한 것으로 추정됩니다. 이 사건은dent 공개되었습니다 통해 게시물을

재무부의 일상적인 수수료 토큰 변환 과정에서, 결함이 있는 스크립트로 인해 3,794,894개의 lp-yCRVv2 토큰이 779,958개의 yvDAI 토큰으로 잘못 교환되었습니다. 이 오류는 유동성 포지션(POL)과 수수료를 포함한 lp-yCRVv2의 전체 재무부 잔액이 거래 멀티시그로 전송되면서 발생했습니다. 이 전송량은 의도된 수수료 부분을 훨씬 초과했습니다. 적절한 출력 검사가 부족하고 논리적 오류가 있는 해당 스크립트는 거래 규모를 제한하지 못하여 상당한 가격 슬리피지를 초래했습니다.

시장 영향 및 후속 조치

예상치 못한 거래로 인해 시장에 상당한 혼란이 발생했으며, 가격은 빠르게 정상 수준으로 되돌아왔습니다. Yearn Finance는 이러한 가격 변동으로 이익을 얻은 사용자들에게 프로토콜의 메인 멀티시그 지갑으로 적정 금액을 반환해 줄 것을 요청했습니다. 반환이 이루어지기 전까지 손실액은 전체 자산의 약 2%에 달합니다. 

이번dent에 대응하여 Yearn Finance는 몇 가지 시정 조치를 발표했습니다. 팀은 POL 펀드를 전용 운용사trac으로 분리하고, 거래 스크립트의 출력 메시지 가독성을 개선하며, 가격 영향 임계값을 더욱 엄격하게 적용할 계획입니다. 이러한 조치는 향후 유사한 사고를 방지하기 위해 프로토콜을 강화하는 것을 목표로 합니다.

보안 문제의 맥락

이번 사건은 Yearn Finance가 직면한 첫 번째 보안 문제가 아닙니다. 블록체인 보안 회사인 PeckShield의 보고에 따르면, 올해 초 iearn으로 알려진 프로토콜의 초기 버전을 표적으로 한 공격으로 1,160만 달러의 손실이 발생했습니다. 또한, 2월에는 또 다른 공격으로 인해 금고 중 하나에서 1,100만 달러 상당의 암호화폐가 도난당했습니다.

 이번dent 사용자 자금에 직접적인 영향을 미치지는 않았지만, 탈중앙화 금융(DeFi) 분야에서 지속적으로 발생하는 보안 및 운영상의 문제점을 부각시켰습니다.

Yearn Finance의 선제적 대응과 시스템 개선에 대한 노력은 이러한 어려움에 직면했을 때 프로토콜의 회복력과 적응력을 보여줍니다.