오일러(Euler), 197M 달러 해킹 사태 1년만에 v2 출시

End-Puff Banner

출처: 토큰포스트

DeFi 대출 프로토콜 오일러(Euler)가 2023년 3월 1억9700만 달러 규모의 플래시론 공격을 겪은 지 1년 만에 v2 모듈형 프로토콜을 출시했다.

4일(현지시간) 더 블록에 따르면, 오일러 v2가 “세심한 개발과 엄격한 보안 감사”를 거쳐 수요일 정식 출시됐다. 컴파운드(Compound)와 아베(Aave)와 유사한 DeFi 대출 및 차입 프로토콜이었던 v1과 달리 v2는 “메타 대출 프로토콜”로 재개발됐다.

v2는 개발자들이 고도로 맞춤화된 차입 및 대출 볼트를 만들고 온체인 신용의 사용 사례를 확장할 수 있도록 설계됐다. 이를 통해 오일러는 고립된 대출 시장을 “괴롭혀 온” 분산화와 자본 비효율성을 제거하는 것을 목표로 한다.

마이클 벤틀리(Michael Bentley) 오일러 랩스 CEO는 서토라(Certora), 옴니시아(Omniscia), 오터섹(OtterSec), 오픈제플린(Open Zeppelin), 트레일 오브 비츠(Trail Of Bits) 등 기업의 31차례 감사를 거쳤다고 밝혔다. 또한 125만 달러 규모의 칸티나(Cantina) 감사 대회, 350만 달러 규모의 해츠 파이낸스(Hats Finance)와의 ‘깃발 뺏기’ 대회, 이번 주 출시 예정인 버그 바운티 프로그램 등을 진행했다고 덧붙였다.

오일러 v2는 이더리움 볼트 커넥터(Ethereum Vault Connector)를 사용해 다른 볼트에 연결되는 ERC-4626 볼트를 허가 없이 배포할 수 있게 한다. ERC-4626은 이더리움과 다른 EVM 호환 블록체인을 위한 토큰화된 볼트 표준으로, 다양한 DeFi 프로토콜이 서로 상호 작용하고 통합하기 쉽게 만든다.

이 볼트들은 전통적인 암호화폐 토큰, 허가된 이전 제한이 있는 토큰화된 실물 자산, 고유하게 발행된 합성 자산, 대체 불가능 자산 등의 사용자 예금을 보유하도록 설계될 수 있다. 또한 맞춤 설정이 가능해 볼트 제작자가 위험/보상 매개변수를 설정하고 적극적인 위험 관리를 위해 거버넌스를 유지할지 또는 대출 기관이 자체적으로 위험을 관리하도록 할지 선택할 수 있다.

각 볼트는 기존 볼트의 예금을 담보로 인식할 수 있는데, 이는 오일러만의 고유한 기능으로 생태계의 유동성을 부트스트랩하는 데 사용될 수 있다고 팀은 주장했다.

오일러팀은 “기존 볼트의 예금은 새로운 볼트에서 담보로 인정될 때 새로운 유틸리티를 얻는다. 한편 새로운 볼트는 이미 유동성이 있고 널리 사용되는 기존 볼트의 예금을 담보로 받아들일 때 차입을 위한 즉시 사용 가능한 사용자 기반을 확보한다”고 설명했다.

오일러의 프론트엔드 인터페이스는 출시 시 4가지 볼트 클래스를 지원한다: 에스크로 담보, 관리형, 비관리형, 수익 집계기 볼트다.

에스크로 담보 볼트는 비관리형으로, 다른 볼트로부터의 대출에 대한 담보로 예금을 보유하며 직접 차입을 허용하지 않아 이자를 받지 않는다. DAO, 위험 관리자 또는 개인이 관리하는 관리형 볼트는 담보 사용과 차입을 모두 허용하며 예금자에게 추가 수익을 제공한다. 비관리형 볼트는 자체적으로 위험을 관리하고자 하는 대출 기관을 위해 고정된 매개변수를 가진다. 마지막으로 관리자가 관리하는 수익 집계기 볼트는 대출 기관의 자산을 집계하여 외부 볼트를 포함한 다양한 ERC-4626 볼트로 보내 다양한 볼트 유형에 걸쳐 위험과 보상을 최적화한다.

자산 가격 책정은 IPriceOracle 인터페이스를 중심으로 구축된 복합 온체인 가격 책정 시스템인 오일러 가격 오라클 시스템을 통해 처리된다.

벤틀리 CEO는 “이 시스템을 통해 불변 어댑터를 통해 다양한 외부 가격 책정 오라클을 통합할 수 있어 사용자에게 정확하고 신뢰할 수 있는 가격 피드를 제공할 수 있다”고 설명했다.

오일러 v2는 “자유 시장” 청산을 허용하며, 더 고급 볼트 제작자는 자체 청산 흐름을 맞춤 설정할 수 있다고 벤틀리는 설명했다. 그러나 표준으로 오일러 v1의 역 더치 경매 청산 메커니즘도 유지하는데, 이는 DeFi에서 가장 낮은 청산 보너스 중 일부를 제공해 차용자를 보호하고 풀 지급 능력을 유지하는 데 도움이 되기 때문에 인기가 있다고 덧붙였다.

벤틀리는 오일러의 볼트가 더 단순한 모듈형 대출 프로토콜보다 자본 효율성이 높아 예금자에게 더 큰 수익을 제공하고, 차용자를 위한 유동성 분산과 금리 변동성을 줄이며, 다른 플랫폼이 따라올 수 없는 수준의 유연성을 개발자에게 제공한다고 주장했다. 그는 “오일러를 사용해 다른 대출 프로토콜을 구축할 수 있지만, 그 반대는 불가능하다”고 덧붙였다.

오일러의 기본 토큰인 EUL은 계속해서 v2의 거버넌스 토큰 역할을 할 것이라고 벤틀리는 확인했다. 오일러 랩스는 향후 몇 주 안에 볼트와 관련된 “상당한 프로젝트”를 발표할 예정이며, DeFi 사용자들이 플랫폼 간 거래 시 직면하는 비용 문제를 해결하는 새로운 것도 작업 중이라고 밝혔다.

2023년 3월 13일, 오일러는 플래시론을 활용한 복잡한 공격을 받아 스테이킹된 이더, USDC, 랩드 비트코인 등 1억9700만 달러 상당의 암호화폐 자산 손실을 입었다.

플래시론은 DeFi 분야에서 정당한 목적으로 유용하게 사용되지만, 담보가 필요하지 않아 공격자들에 의해 자주 악용된다. 그러나 이러한 대출은 매우 짧은 시간 내에 상환해야 하므로 높은 위험이 따른다.

공격 이후 오일러의 EUL 토큰 가치는 70% 가까이 하락해 2.07달러를 기록했다. 현재 EUL 토큰은 더 블록의 오일러 가격 페이지에 따르면 5.02달러에 거래되고 있다.

도난당한 자금을 회수하기 위해 오일러는 공격자에게 1970만 달러 상당의 10% 바운티를 제안했으며, 남은 90%의 자금이 반환되지 않을 경우 공격자에 대한 정보에 100만 달러의 보상금을 내걸겠다고 경고했다.

해커가 공격 3일 후 암호화폐 믹서 토네이도 캐시를 통해 180만 달러를 세탁했을 때 초기 의구심이 있었지만, 3월 18일 오일러에 540만 달러를 반환하면서 회수 과정이 시작됐다.

이후 며칠 동안 해커는 다양한 간격으로 자금을 계속 반환했다. 가장 큰 규모로 1억200만 달러의 이더를 반환했다.

3월 28일, 해커는 오일러의 주소로 일련의 온체인 메시지를 보내 입력 데이터를 사용해 대중과 공유했다. 이 메시지에서 공격자는 “미안하다”고 말하며 가능한 한 빨리 남은 자금을 반환하겠다고 약속했다.

4월 3일, 공격자는 남은 3100만 달러를 반환해 회수 노력이 성공적으로 마무리됐다.

2023년 9월, 칸코두(Kankodu)로 알려진 가명의 화이트햇은 오일러에 특정 취약점을 도입한 버그 바운티 보고서를 제출했고, 이로 인해 해킹이 발생했다고 주장했다.

칸코두는 2022년 7월에 오일러의 “첫 번째 예금 버그”를 발견했다고 밝혔다. 이는 3월 사건과는 별개의 문제였으며, 이 발견으로 5만 달러의 보상을 받았다고 한다.

그러나 이 버그를 수정하는 과정에서 오일러의 코드에 “donateToReserves”라는 추가 기능이 도입됐다. 이 기능은 준비금을 강화하기 위한 것이었지만, 의도치 않게 1억9700만 달러 공격에서 악용된 더 큰 취약점을 만들어냈다고 칸코두는 말했다.

v1 공격의 규모를 고려할 때 오일러는 v2에 사용자를 유치하는 데 어려움을 겪을 수 있다. 그러나 오일러 랩스는 유사한 공격을 방지하기 위해 “중요한 안전장치”를 마련했다며 자신감을 보이고 있다.

벤틀리는 “우리는 보안에 깊이 집중하고 있으며 사용 가능한 최고의 기술로 대출 공간을 재구상했다. 우리의 접근 방식은 볼트 제작자들과 긴밀히 협력하여 오일러 v2가 과거의 과제를 해결할 뿐만 아니라 DeFi 대출에서 새로운 표준을 설정하도록 하는 것”이라고 말했다.

그는 “서토라의 정형 검증이 오일러 v2 볼트에 대한 ‘성배’ 속성을 성공적으로 증명했으며, 이는 모든 조건에서 계정이 건전하게 유지되도록 보장한다. 이 강력한 접근 방식은 오일러 v1의 취약점을 방지했을 것이며, 보안 중심의 오일러 v2에 대한 강력한 보증을 제공한다”고 덧붙였다.

원문보러가기(클릭)

Latest articles

Related articles