Yield Yak이 Gitcoin에 이어 최신 지갑 고갈 공격에 가담했습니다

블록체인 사이버 보안 회사인 블록에이드(Blockaid)는 2026년 6월 24일, 탈중앙화 금융(DeFi) 수익률 집계 플랫폼인 일드 야크(Yield Yak) 웹사이트에서 프런트엔드 해킹을 탐지했습니다. 블록에이드에 따르면, 일드 야크 웹사이트의 프런트엔드는 악성 지갑 탈취 스크립트에 의해 침해당했습니다. 이는 주요 암호화폐 거래 플랫폼을 대상으로 한 유사 공격이 며칠 만에 두 번째로 발생한 사례이며, 최근 주요 암호화폐 플랫폼을 겨냥한 프런트엔드 해킹 추세의 최신 사례입니다.

Blockaid의 탐지 시스템에 따르면, 서브도메인 vote.yieldyak.com이 "Eleven drainer"라는 소프트웨어의 코드로 인해 손상된 것으로 확인되었습니다. Wallet drainer는 사용자가 승인한 거래를 통해 디지털 자산을 공격자에게 전송하도록 유도하는 악성 스크립트의 일종입니다. 이 악성 코드는 사용자가 지갑을 연결하는 순간, 즉 사용자가 무슨 일이 일어나고 있는지조차 인지하기 전에 공격자에게 자산을 전송하거나 특정 작업을 승인하도록 강요합니다. Blockaid와 Yield Yak 모두 이 해킹으로 인한 손실 규모에 대한 정보를 제공하지 않았습니다.

공격자는 classic 공격 전략을 사용합니다

Yield Yak 해킹 사건은 며칠 전 오픈소스 펀딩 플랫폼인 Gitcoin에서 발견된 취약점과 유사합니다. 6월 21일 Blockaid에 따르면, Gitcoin의 하위 도메인인 files.gitcoin.co에서 동일한 Eleven 드레이닝 코드가 발견되었으며, 플랫폼 점검 중이므로 접근하지 말라는 경고 메시지가 표시되었습니다. Blockaid는 두 해킹 사건을 직접적으로 연관시키며, Yield Yak 공격이 "어제dent Gitcoin에서 발생한 유사한

🚨Blockaid 시스템이dent에 의한 yieldyak[.]com에 대한 프런트엔드 공격을 감지했습니다. @yieldyak_사이트의 서브도메인인 vote[.]yieldyak[.]com에는 현재 eleven drainer 코드가 포함되어 있습니다.

이는 어제dent 에서 @gitcoin 발생한 유사한 공격에 pic.twitter.com/YFmWEYfa7D

— 블록에이드 (@blockaid_) 2026년 6월 24일

기반의 자동 복리 수익률 농업 프로토콜인 Yield Yak의 핵심 제품은 Avalanche될 위험에 처했을 것입니다 자산이 고갈.

되지 defi손실액이dent하고 사용자가 악성 거래를 실행했는지 확인하는 데 몇 시간 또는 며칠이 걸리는 조사 과정을 거치는 경우가 많습니다. 올해 발생한 다른 대규모 자금 유출 사례에서는 악성 코드가 삭제될 때까지 지갑을 연결한 사용자 수에 따라 손실액이 수천 달러에서 수백만 달러에 이르렀습니다. 예를 들어, Blockaid가 모니터링한 사건 중 하나에서는dent약 320만 달러를 . 또 다른 사례는 유동성 공급자 TrustedVolumes에 대한 공격으로 590만 달러의 손실이 발생한 경우입니다.

프런트엔드 공격 급증

앞서 언급된 Yield Yak과 Gitcoin 해킹 사건은 올해 암호화폐 커뮤니티를 뒤흔든 더 큰 추세의 일부입니다. 공격자가 스마트trac에는 영향을 미치지 않고 프로젝트 웹사이트를 악용하는 프런트엔드 공격이 주요 DeFi 플랫폼 전반에서 빈번하게 발생하고 있습니다.

올해 초, OpenEden, Curvance, Maple Finance는 2월 한 주 동안 모두 프런트엔드 공격을 받았습니다. 이 공격들은 AngelFerno라는 다른 드레이닝 툴킷을 사용했지만, 동일한 수법을 따랐습니다. 즉, 프로젝트의 웹 인프라에 접근하여 지갑 연결을 가로채는 코드를 삽입하고 사용자의 반응을 기다리는 것입니다.

Blockaid는 2026년 4월에 훨씬 더 공격적인 패턴을 기록했다고 밝혔습니다. Drift Protocol, KelpDAO 및 기타 플랫폼 에서 발생한 대규모 해킹 사건 이후 , 해킹범들은 토큰 승인 취소 방법을 찾는 공황 상태에 빠진 사용자들을 노리기 위해 몇 시간 만에 유사 도메인을 생성했습니다. Blockaid는 2026년 4월을 "기록상 최악의 암호화폐 도난 발생 월"로 규정하며, 20건 이상의dent. 에서 6억 2,900만 달러 이상이 유출되었다고 밝혔습니다

Yield Yak 사용자가 알아야 할 사항

Yield Yak은 Avalanche 기반의 DeFi 프로토콜로, 수익률 농업 보상을 자동으로 복리 계산하고 탈중앙화 거래소 통합 서비스를 제공한다고 Alchemy에 등록되어 있습니다. 메인 플랫폼의 스마트trac을 통해 자산을 예치한 사용자는 기본trac내용이 변경되지 않으므로 프런트엔드 침해의 직접적인 영향을 받지 않습니다. 하지만 해당 서브도메인을 방문하여 지갑을 연결하거나 거래에 서명한 사용자는 모두 위험에 노출될 수 있습니다.

이 글이 발행될 시점까지 Yield Yak과 Gitcoin 모두 각dent에 대한 복구 진행 상황에 대해 공식적인 입장을 발표하지 않았습니다. 어떤 보안 회사나 블록체인 조사 기관도 Yield Yak 해킹과 관련된 확정된 손실액을 공개적으로 보고하지 않았으며, 현재 온체인상에서 잠재적인 피해 규모를 나타내는 증거도 없습니다. Blockaid는 문제가 조사 및 복구되는 동안 해당 웹사이트를 이용하지 말 것을 사용자들에게 권고했습니다.

vote.yieldyak.com과 상호 작용한 것으로 의심되는 사용자는 신뢰할 수 있는 도구를 사용하여 해당 세션 동안 부여된 토큰 승인을 모두 취소하고 지갑에서 승인되지 않은 전송이 있는지 확인해야 합니다.