해커의 인출기로 전락했지만 꿋꿋이 서 있는 Venus, 도난 사건이 드러낸 DeFi의 난처함

저자：谷昱，ChainCatcher

해커는 모든 DeFi 프로토콜의 치명적인 적이며, 대다수의 DeFi 프로토콜은 백만 달러 규모의 공격 손실에 직면하면 무너져 쇠퇴하게 된다. 그러나 BNB 체인의 대표적인 대출 프로토콜이자 바이낸스 내부에서 인큐베이팅된 프로젝트인 Venus Protocol은 분명히 드문 예외이다.

Venus는 처음에 바이낸스가 인수한 Swipe 팀에 의해 개발되었으며, 2020년 BNB 체인 메인넷이 출시된 다음 달에 발표되어 빠르게 BNB 체인에서 가장 많은 자산과 사용자 규모를 가진 대출 프로토콜이 되었다. RootData에 따르면, 현재 Venus 토큰 FDV는 9400만 달러, TVL은 14.7억 달러이다.

최근 Venus는 다시 해커 공격의 목표가 되었다. 공식 팀의 복기 결과에 따르면, 공격자는 2025년 6월부터 정상적인 예치 프로세스를 통해 THE 토큰을 천천히 축적하여 최종적으로 약 1220만 개의 THE를 보유하게 되었고, 이는 240만 달러의 가치에 해당한다.

3월 15일, 공격자는 모든 THE 토큰을 담보로 대출 계약에 예치하고, 체인 상에서 THE의 유동성이 극히 낮고 TWAP 오라클의 지연을 이용하여 재귀적으로 가격 조작을 하여 수백만 달러 가치의 BTC, BNB, CAKE 등의 자산을 대출했다.

THE 가격의 붕괴로 연쇄 청산이 발생하면서 이 사건은 결국 Venus에 약 215만 달러의 부실채권을 초래했다. 지난 몇 년의 역사를 되돌아보면, Venus는 거의 매년 해커 공격을 받아왔으며, 특히 오라클 공격으로 인해 Venus는 누적 1억 달러 이상의 부실채권을 기록했다.

XVS 오라클 가격 조작 사건

2021년 5월, 한 공격자는 XVS 토큰이 중앙화 거래소(주로 바이낸스)에서 상대적으로 유동성이 부족한 약점을 이용하여 짧은 시간 안에 XVS 가격을 약 70달러에서 140달러 이상으로 끌어올렸다. 이후 공격자는 보유한 XVS를 담보로 하여 Venus 프로토콜에서 대량의 우량 자산(약 2000 BTC와 5700 ETH)을 대출했다.

그 후 XVS 가격은 급락하여 최저 31달러로 떨어져 대규모 청산을 촉발했다. 시장 유동성이 이렇게 대량의 청산 매도를 지탱할 수 없었기 때문에 Venus 프로토콜은 9500만 달러 이상의 부실채권을 발생시켰다.

이 사건 이후 해당 프로토콜은 Swipe 팀의 관리에서 탈퇴하고, 커뮤니티 구성원들이 새로운 이사회를 구성하여 프로토콜의 후속 거버넌스를 맡기로 했다. 그러나 여전히 깊은 바이낸스 배경을 가지고 있다.

LUNA 붕괴 사건

2022년 5월, 이 달의 LUNA 붕괴 사건에서 LUNA의 실제 가격이 짧은 시간 안에 0.1달러 이하로 급락했지만, Chainlink 오라클이 가격이 특정 임계값(0.10달러) 이하로 떨어진 후 업데이트를 중단하여 Venus 프로토콜이 여전히 0.1달러의 잘못된 "고가"로 LUNA 담보를 수용하게 되었다.

공격자는 이 취약점을 발견한 후, 이차 시장에서 저가로 대량의 LUNA를 구매하여 Venus에 예치하고, 부풀려진 가치로 담보를 제공하여 다른 자산을 대출받아 프로토콜에 다시 1120만 달러 이상의 부실채권을 초래했다.

Binance 오라클 사고

2023년 12월, Venus가 낮은 유동성 자산인 snBNB의 격리 대출 풀에서 Binance 오라클의 가격 데이터를 사용했기 때문에, 공격자는 PancakeSwap의 그 극소수의 풀에서 snBNB를 구매하였고, 깊이가 극히 얇아 snBNB의 가격이 즉시 터무니없는 수준으로 끌어올려졌다.

공격자는 이후 0.49개의 snBNB를 예치하고 풀에서 거의 모든 사용 가능한 자산(WBNB, BNBx, ankrBNB 등)을 대출받아 총 가치 약 27.4만 달러를 확보한 후, 크로스체인 브리지를 통해 세탁했다. 결국 Venus 거버넌스는 제안을 통해 국고 자금을 전액 사용하여 이 부실채권을 메웠다.

wUSDM 오라클 가격 조작 사건

2024년 2월, 한 공격자는 ERC-4626 프로토콜의 취약점을 이용하여 Mountain Protocol이 발행한 wUSDM 스테이블코인의 가격을 짧은 시간 안에 1.7달러로 인위적으로 끌어올렸다. 이후 공격자는 Venus 프로토콜에 소량의 wUSDM을 예치했다.

오라클이 조작된 "허위 고가"를 읽어들였기 때문에, 공격자는 이 부풀려진 가치의 wUSDM 담보를 이용하여 풀에서 더 높은 가치의 다른 자산(예: USDC, ETH 등)을 대출받았다. wUSDM 가격이 정상적인 1달러로 돌아오면서 공격자는 이미 대출한 자산을 이전하고 반환하지 않았고, Venus는 해당 거래를 청산한 후 약 71.6만 달러의 부실채권을 발생시켰다.

커뮤니티 거버넌스 논란

위의 공격 사건 외에도, Venus는 2021년 9월에 한 차례 거버넌스 사건으로 외부의 의혹을 받았다. 당시 한 Venus 커뮤니티 사용자가 "Bravo 팀 구성"이라는 제목의 제안을 게시하여, 해당 팀에 원래 거버넌스 팀과 동등한 수준의 투표 및 자금 조달 능력을 부여하고자 했다.

그러나 발기자는 토큰 배포를 약속하여 투표를 유도한 것으로 보인다. 제안서에 따르면, 제안된 자금 조달의 190만 XVS 토큰 중 Bravo 팀은 90만 XVS(2900만 달러)를 찬성 투표한 주소에 배포할 것이라고 했다. 결국 9월 14일 오후 10시 33분에 이 제안은 129만 표의 찬성과 119만 표의 반대에 의해 통과되었다.

업계의 관념에 따르면, 체인 상의 거버넌스 제안이 투표를 통해 통과되면 팀이 이를 실행해야 하지만, Venus 팀은 "원클릭 취소"를 통해 이 결정을 무효화하고, 익명의 인물이 뇌물을 통해 프로토콜을 통제하는 것을 방지하고자 했다고 밝혔다. 이는 지금까지 DeFi 업계에서 매우 드문 체인 상의 거버넌스 제안이나 투표가 통과되었지만 실행되지 않은 경우 중 하나이다.

또한 2025년 9월, Venus 프로토콜에서는 사용자가 1300만 달러 이상의 손실을 입은 안전 사고가 발생했지만, 이는 주로 해당 사용자의 컴퓨터 인터페이스 프론트가 해커에 의해 변조되어 "주소 위임(대리)" 거래에 서명하도록 유도된 것이며, Venus 자체의 취약점 때문이 아니다.

Venus가 "생존자"가 된 이유

이러한 공격 사건을 종합적으로 보면, Venus는 암호화 분야에서 드문 "생존자"로 평가받으며, 아마도 해커 공격에 대한 "가장 경험이 많은" 프로젝트가 되었을 것이다. 이는 상당 부분 바이낸스가 암호화 거대 기업으로서 Venus에 지속적으로 자원과 브랜드를 지원한 덕분이며, 이렇게 많은 안전 사고가 발생했음에도 불구하고 바이낸스는 여전히 재무 기능을 통해 거래소 사용자들이 Venus에 예치하여 더 높은 수익률을 얻도록 유도하고 있다.

Venus 체인 상의 TVL 통계 출처：DeFillama

잘 알려진 바와 같이, 바이낸스는 BNB 체인 생태계에서 절대적인 발언권을 가지고 있다. 바이낸스의 대출 분야의 주요 지원 대상인 Venus는 항상 다른 대부분의 DeFi 프로젝트가 가지지 못한 생태적 편향과 위험 보전 능력을 누리고 있으며, 이는 일련의 안전 위험이 존재할 수 있음에도 불구하고 그렇다.

업계 관점에서 볼 때, DeFi의 취약성은 이러한 사례에서 더욱 두드러진다. 오라클 지연, 낮은 유동성 자산, 가격 조작, 거버넌스 메커니즘의 취약점 등 이러한 문제는 Venus뿐만 아니라 더 많은 DeFi 프로젝트의 역사에서 반복적으로 발생해왔다.

고도로 자동화된 DeFi 시스템에서, 특정 단계에서 설계 결함이 발생하기만 하면 공격자는 가격, 유동성 또는 시간 차를 이용하여 복잡한 차익 거래 공격을 구축할 수 있다.

Venus가 여러 차례의 위기 이후에도 계속 생존할 수 있었던 것은 강력한 생태적 지원과 자금 보상 능력에 크게 의존하고 있다. 그러나 대부분의 DeFi 프로젝트에 있어서는 수천만 달러 규모의 공격이 발생하면 전체 프로토콜이 종료되는 경우가 많다.

Venus의 "예외"는 주요 생태계가 프로젝트를 보호할 수 있는 능력을 입증할 뿐만 아니라, DeFi 안전 시스템의 일반적인 취약성을 반영한다. 즉, 안전이 "거대 기업의 보전"에 의존하게 되고, 프로토콜 자체의 리스크 관리 및 메커니즘 보장이 아닌 경우, DeFi의 진정한 안전은 여전히 멀고도 험난한 길이다.