Yearn Finance V1의 기존 Yearn TUSD 볼트가 해킹당했습니다.

탈중앙화 금융 프로토콜인 Yearn의 구형 버전이 취약점 공격을 받아, 이미 사용이 중단된 지 수년이 지난 후에도 네트워크에 자금을 묶어두는 잘못 구성되고 변경 불가능한 스마트trac에 대한 우려가 다시 제기되고 있습니다.

수요일에 보안 회사 PeckShield는 X 게시물을 통해 YearnFinanceV1 해킹으로 약 30만 달러의 손실이 발생했다고 보고했습니다. 해당 회사가 공유한 Etherscan 이미지에 따르면, 도난당한 자금은 103 이더로 교환되었으며 현재 주소 0x0F21…4066에 있습니다.

#PeckShieldAlert YearnFinanceV1 @yearnfi 에서 해킹 공격이 발생하여 총 약 30만 달러의 손실이 발생했습니다.

공격자는 훔친 자금을 103 이더리움(ETH), 해당 자금은 현재 0x0F21…4066 주소에 보관되어 있습니다. pic.twitter.com/KeyfTLKRHx

— PeckShieldAlert (@PeckShieldAlert) 2025년 12월 17일

해커들은 TrueUSD에 연결된 구형 Yearn 볼트인 "iearn TUSD 볼트"를 악용했습니다. 이 볼트는 최신 버전으로 대체되었음에도 불구하고 여전히 이더리움에 배포되어 있습니다. 구성상의 결함을 이용해 공격자들은 여러 거래를 통해 주가를 조작했습니다.

Yearn Finance의 금고 설정 오류로 인해 가격 조작이 발생했습니다. 

익명의 암호화폐 연구원이자 중국과학기술대학교 졸업생인 리웨이린의 분석에 따르면, 해당 금고는 전략 중 하나로 풀크럼 sUSD 금고를 설정했으며, 예치된 sUSD 잔액만을 사용하여 주가를 계산했습니다.

이는 이른바 "기부 공격"의 가능성을 열었습니다. 공격자는 자산을 직접 금고로 이체하여 회계 지표를 왜곡합니다. 풀크럼(Fulcrum) sUSD 토큰을 이어른(Yearn) TUSD 금고로 보낸 후, 공격자들은 금고의 보고된 주가를 인위적으로 부풀릴 수 있었습니다.

문제는 sUSD로 된 모든 기초 자산을 인출하는 리밸런싱 기능으로 인해 더욱 악화되었습니다. sUSD는 볼트의 주가 계산에 포함되지 않는 자산입니다. 리밸런싱이 시작되자 볼트의 주가가 급락하여 "가격 충격"을 일으켰습니다.

PeckShield Alert의 Etherscan 스냅샷에 따르면, 공격자는 먼저 선불 담보 없이 대량의 TUSD와 sUSD를 차입하는 방식으로 순차적인 플래시론을 실행했습니다. 그런 다음 sUSD를 예치하여 Fulcrum sUSD 토큰을 발행하고, 마지막으로 TUSD를 Yearn TUSD 볼트에 예치했습니다. 

당시 TUSD 볼트의 모든 기초 자산은 Fulcrum sUSD 토큰으로 구성되어 있었습니다. 공격자는 Yearn TUSD 볼트에서 자금을 인출하고 리밸런싱 기능을 호출하여 Fulcrum이 모든 자산을 sUSD로 상환하도록 강제했습니다. sUSD는 주가 계산에서 제외되었기 때문에 볼트의 회계가 붕괴되어 주가가 사실상 0에 가까워졌습니다.

공격자는 소량의 TUSD를 다시 금고로 이체하여 주가를 극도로 낮은 수준으로 떨어뜨린 후, 최소한의 비용으로 대량의 Yearn TUSD 토큰을 발행했습니다. 그는 결국 저렴하게 확보한 Yearn TUSD 토큰을 Curve 풀에서 매도하여 유동성 공급자로부터 가치를trac후 플래시론을 상환함으로써 수익을 올렸습니다.

Yearn Finance, 2023년 취약성 요약 발표 (연구원 설명)

연구원 리는 이번 공격이 2023년에 발생하여 1천만 달러 이상의 손실을 초래했던 공격과 유사하다는 사실을 발견했습니다. 이전dent 표적이 된 변경 불가능한 yUSDTtrac은 3년 이상 전에, 고(故) 안드레 크론예가 iearn 프로토콜을 이끌던 초기 시절에 배포되었습니다.

덧붙이자면, 이번 공격 방식은 지난번과 완전히 동일합니다: https://t.co/MKfn7kikJ7

cc @yearnfi @RektHQ

— Weilin(William) Li(@hklst4r) 2025년 12월 16일

비관적인 보안 분석가들은 공격 발생 전에 소셜 미디어를 통해 해당 취약점에 대해 경고했지만, 배포 후에는 패치하거나 일시 중지할 수 없는 불변 스마트trac의 특성상 이러한 공격은 불가피했습니다.

 "iearn finance와 Smoothswap, 조심하세요. 이 주소(0x5bac20…ed8e9cdfe0)는 Tornado에서 10 ETH를 받았고, 여러분의 주소를 이용해 플래시론trac을 체결하고 있습니다."라고 PS의 Nikiti Kirillov가 경고했습니다.

한 Yearn 관계자는 공격이 발생했음을 인정하고 현재 계약은 안전하다고 사용자들을 안심시켰습니다trac그러나 Rekt News의 관찰자들은 을 밝혀냈습니다 1,156일이 걸렸다는 사실 DeFi 프로토콜이 수백만 달러 규모의 취약점을 발견하는 데

Yearn yUSDT 토큰tracAave, Compound, dYdX 및 BzX의 Fulcrum에 예치된 USDT를 포함한 다양한 수익 창출 포지션에서 수익을 발생시켰습니다. 그러나 출시 이후 yUSDT에는 Fulcrum USDTtrac대신 Fulcrum USDC 주소를 참조하는 복사 붙여넣기 오류가 있었습니다. 

해커들은 단 10,000 USDT만으로 약 1.2경 yUSDT를 발행하여 시스템에서 가치를 빼돌린 후 cash했습니다.

Yearn 사건은dentCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan 보도한 에서 270만 달러가 유출된 사건을tractractractractractractractractrac는 transferOwnership 및 setImplementation과 같은 함수를 호출하여 위임 호출을 통해 가격 피드 프록시를 조작했습니다.