루프스케일(Loopscale), 솔라나(Solana) 기반의 탈중앙화 금융(DeFi) 프로토콜이 출시된 지 불과 2주 만에 대규모 해킹 사고를 당해 580만 달러 이상을 잃었습니다.

4월 26일, 공격자들은 루프스케일의 대출 마켓 중 하나에서 발생한 취약점을 악용해 약 570만 USDC와 1,200 SOL을 탈취했다고 루프스케일 공동 창업자 메리 구네라트네(Mary Gooneratne)가 밝혔습니다. 이 손실은 프로토콜 총 예치 자산(TVL)의 약 12%에 해당합니다.

사고 이후 루프스케일은 대출 운영을 일시 중단했지만, 이후 대출 상환, 추가 입금, 루프 종료와 같은 일부 기능을 제한적으로 재개했습니다. 금고(Vault) 출금 및 기타 주요 기능은 여전히 제한되어 있으며, 팀은 사건의 전모를 파악하고 복구 방안을 모색하기 위한 조사를 계속하고 있습니다.

루프스케일은 사고의 원인이 RateX 기반 담보의 가격 책정 문제에서 비롯되었으며, 이를 통해 공격자들이 담보가 충분하지 않은 대출을 반복적으로 받아낼 수 있었다고 확인했습니다. 현재 사건의 전체 범위를 파악하고 복구 방안을 모색하기 위한 조사가 진행 중입니다.

루프스케일은 4월 10일 출시된 프로젝트로, 원래 NFT 기반 수익 상품에 집중했던 브리지스플릿(Bridgesplit)의 후속 프로젝트입니다. 루프스케일은 솔라나랩스(Solana Labs), 코인베이스 벤처스(Coinbase Ventures) 등으로부터 지원을 받았으며, 2021년 벤처 자금으로 425만 달러를 유치한 바 있습니다. 루프스케일은 아베(Aave)나 솔렌드(Solend) 같은 전통적인 풀 기반 대출 플랫폼과 달리 주문서 기반 시스템(order book-based system)을 채택해 보다 예측 가능한 대출 조건을 제공하도록 설계되었습니다.

올해 초, 보안 기업 OShield가 루프스케일을 감사하여 여러 심각한 취약점을 발견했으며, 루프스케일은 주요 문제들을 모두 수정했다고 밝혔습니다. 별도로 진행 중인 Sec3의 추가 감사는 아직 완료되지 않았습니다.

그럼에도 불구하고, 루프스케일은 2025년 해킹 피해를 입은 최신 디파이 플랫폼이 되었습니다. 올해 들어 바이빗(Bybit)에서 발생한 북한 라자루스 그룹(Lazarus Group) 연루 14억 6천만 달러 해킹 사건 등 대규모 보안 사고가 잇따르고 있습니다. 또한 스테이블코인 네오뱅크 인피니(Infini)에서 4,900만 달러, 탈중앙화 거래소 킬로EX(KiloEX)에서는 오라클 공격으로 700만 달러가 유출된 바 있습니다.

블록체인 보안 기업 팩쉴드(PeckShield)에 따르면, 2025년 1분기에만 해커들이 암호화폐 거래소 및 온체인 프로젝트에서 16억 달러 이상을 탈취했으며, 이 중 대다수는 바이빗 해킹 사건이 차지했습니다.

580만 달러 해킹 이후 루프스케일은 대출 상환, 추가 입금, 루프 종료 기능을 재개했지만 금고 출금 및 기타 앱 기능은 여전히 중단된 상태입니다. 루프스케일 팀은 이번 해킹이 RateX 자체가 아닌 루프스케일의 RateX 기반 담보 가격 산정 문제에서 비롯된 것으로 추적했습니다.

이번 사고로 영향을 받은 것은 SOL과 USDC 제네시스 금고(Genesis vault) 예치자들뿐입니다. 현재 해킹 경위, 공격자 신원 파악 및 자금 복구 방안 마련을 위해 수사기관 및 보안 전문가들과 협력하고 있으며, 곧 전체 기술적 분석 및 사용자 출금 세부 정보 등을 포함한 추가 업데이트를 제공할 예정입니다.