탈중앙화 금융(De-Fi, 디파이) 서비스인 밸런서(Balancer)의 'V2 컴포저블 스테이블 풀'에서 대규모 자산이 유출되면서 이더리움 가격이 크게 하락했는데요. 오늘은 밸런서가 어떤 서비스인지, 이번 해킹의 원인은 무엇인지 차근차근 짚어보겠습니다.
밸런서란?
밸런서는 ‘자동으로 코인을 사고팔아주는 블록체인 서비스’입니다. 보통 우리가 여러 코인을 들고 있으면, 어떤 코인이 오를 때는 팔고, 내릴 때는 더 사서 보유 비율을 맞추고 싶은데 직접 하기 어렵죠. 밸런서는 이걸 프로그램이 대신 자동으로 해주는 시스템이에요.
예를 들어 밸런서에 이더리움 60%, 비트코인 40% 비율로 돈을 넣어두면, 가격이 오르거나 떨어져도 밸런서가 알아서 비율을 유지해줘요. 비트코인이 많이 오르면 일부를 팔고, 이더리움이 내리면 그걸 조금 더 사서, 다시 60:40 비율로 맞추는 식이죠. 이렇게 하면 내가 일일이 사고팔지 않아도 포트폴리오가 자동으로 관리돼요. 그래서 밸런서는 ‘자동 자산 관리 로봇’으로 불리기도 하죠.
밸런서가 돌아가는 방식
밸런서는 유동성 풀(Liquidity Pool)이라는 바구니 안에서 코인 거래를 자동으로 처리합니다. 이 풀에는 이더리움, 비트코인, 스테이블코인(달러 같은 가치 고정 코인) 등이 들어 있고, 사람들이 이 풀을 이용해 서로 코인을 바꾸죠. 예를 들어 누군가가 비트코인을 이더리움으로 바꾸려 하면, 밸런서 풀 안에서 바로 교환이 이뤄집니다.
이때 거래가 일어나면 수수료가 발생하는데요. 예를 들어 거래 수수료가 0.3%라면, 그 돈은 거래소가 가져가는 게 아니라 이 풀에 돈을 예치한 사람들에게 나눠집니다. 이 사람들이 거래가 가능하도록 코인을 미리 풀 안에 넣어둔 공급자(유동성 제공자, LP)이기 때문이죠. 쉽게 말해, '내 코인을 빌려줘서 시장이 돌아가게 만든 대가'로 수수료를 받는 것'입니다.
해킹은 어디서 당한 걸까?
밸런서(Balancer)는 처음 출시된 이후, 여러 번의 업그레이드(버전 업데이트)를 거쳐 왔어요. V1(버전 1)은 단순히 여러 코인을 한 바구니에 넣고 자동으로 사고팔게 만드는 초창기 구조였죠. 하지만 거래 속도와 효율을 높이기 위해, 밸런서는 V2에서 큰 변화를 줬습니다. 여러 개의 풀(자산 바구니)을 한곳에서 관리할 수 있도록 볼트(Vault, 금고)라는 시스템을 만든 건데요. 이 금고는 모든 자산을 한 데 모아 거래를 처리하기 때문에 훨씬 효율적이지만, 구조가 복잡해지면서 보안 관리가 어려워지는 문제도 함께 생겼습니다.
이번 해킹은 바로 이 V2 구조의 복잡함을 노린 공격이었는데요. V2에는 컴포저블 스테이블 풀(Composable Stable Pool)이라는 기능이 있는데, 여러 종류의 스테이블코인을 묶어 안정적인 거래를 가능하게 하는 구조입니다. 그런데 이 풀이 볼트와 연결되는 과정에서 권한 설정과 코드 로직에 빈틈이 있었고, 해커는 이를 이용해 금고 안의 자산을 외부 지갑으로 이동시키는 방식으로 1억 달러(약 1,400억 원) 규모의 자산을 탈취했죠.
컴포저블 스테이블 풀(Composable Stable Pool): 밸런서 V2에서 만들어진 특수한 유동성 풀(자산 바구니)이에요. 여러 종류의 스테이블코인(가치가 1달러에 고정된 코인들, 예: USDC·DAI·USDT)을 한곳에 모아두고, 서로 교환할 수 있도록 만들어졌죠. ‘컴포저블'(Composable)이라는 이름처럼, 이 풀은 다른 디파이 서비스나 밸런서의 다른 풀과 서로 연결되고 함께 작동할 수 있도록 설계된 구조예요. 덕분에 효율적으로 거래가 이뤄지지만, 여러 시스템이 엮여 있어 한 부분의 오류가 전체로 번질 수 있는 복잡한 구조이기도 하죠.
밸런서 측은 이후 “이번 공격은 V2에만 해당되고, 최신 버전인 V3는 영향을 받지 않았다”라고 설명했는데요. V3는 보안 강화와 구조 단순화를 통해 이런 문제를 줄이려는 목적을 갖고 있습니다. 하지만 10회 이상의 보안 감사를 거친 시스템에서 이런 대형 해킹이 발생했다는 점 때문에, 코드로만 운영되는 금융 서비스는 완벽히 안전할 수 없다는 비판이 다시 커지고 있죠.