최근 디파이 프로토콜 얌 파이낸스(Yam Finance)가 보안 감사를 거치지 않은 상태에서 치명적인 결함이 발생해 논란이 된 가운데, 또 다른 디파이 프로토콜 와이언 파이낸스(Yearn Finance) 창립자 안드레 크로네는 “보안 감사를 거쳤다고 해서 100% 안전한 건 아니다”라고 주장했다. 감사를 거쳤다는 이유만으로 이용자들이 방심했다간 오히려 큰 피해를 입을 수 있다는 것을 시사한 것이다.

◇와이연, 이미 보안 감사 끝냈다



8월 20일(현지시간) 안드레 크로네(Andre Cronje) 와이언 파이낸스 창립자는 암호화폐 전문 미디어 코인텔레그래프에 “최근 깃허브에 수개월 전 받은 보안 감사 결과를 올렸다”고 밝히며, 뒤늦게 감사 발표를 한 이유에 대해 “이용자들에게 잘못된 보안 의식을 심어주지 않기 위한 결정”이라고 설명했다.

와이언 파이낸스는 이틀 전 깃허브에 서틱(Certik), 퀀트스탬프(Quantstamp) 등에게서 받은 5개 보안 감사 내용을 게재했다. 감사 기간은 올 2월부터 7월까지 6개월 간 진행됐다. 이들이 발견한 취약점 중 일부는 심각한 것으로 분류됐다. 예컨대 서틱의 감사 결과에 따르면 긴급한 상황이 아닌 데도 이용자들이 자신의 모든 자금을 일시적으로 인출하지 못하도록 차단하는 경우다. 이에 대해 크로네는 “당초 그렇게 설계한 것이나 (보안에) 취약하기는 하다”고 인정하면서도 “대출자라면 인출 가능한 유동성보다 대출을 해준 자산이 더 많을 위험성은 상존한다”고 말했다.

그는 이용자들이 위험에 대해 이해해야 하며 보안 감사를 거쳤다고 해서 100% 맹신해선 안 된다고 강조했다. 하지만 여전히 많은 이용자들이 감사를 거쳤다는 말만 듣고 무턱대고 돈을 내놓는다고 지적했다.

◇얌, 보안 감사 후 v2 마이그레이션 진행… 방심 말아야

그의 발언은 최근 감사를 받지 않은 채로 결함이 발견돼 곤욕을 치른 얌 파이낸스 사태 후 나온 것이어서 더욱 주목을 받고 있다.

앞서 14일 얌 파이낸스는 얌 토큰 리베이스(자동 가격조절 메커니즘) 조정 시 대량의 yCRV가 생성되는 결함이 발생해 보수 작업을 진행했다가 결국 실패로 끝났다. 얌 측은 보안 감사를 실시한 뒤 얌v2 마이그레이션을 하기로 결정했다. 이후 얌은 블록체인 보안 전문 업체 펙실드(PeckShield)의 보안 감사를 마쳤고 현재 마이그레이션이 진행 중이다. 한때 180달러를 기록했던 얌 토큰은 사건 직후 0.4달러까지 곤두박질 쳤다가 최근 1.47달러(코인마켓캡 기준)까지 회복한 상태다.

이번 감사를 맡은 펙실드는 “YAMv2 마이그레이션 스마트 컨트랙트의 안전성과 신뢰성에 대해 집중 분석한 결과, 투명하게 설계됐으며 로직이 정밀하고 코드가 간결하면서도 유효하다고 결론 내렸다”고 평가했다.

하지만 크로네의 주장대로라면 감사를 거쳤다 하더라도 여전히 다양한 취약점이 프로토콜 내 존재하며 이용자들은 이를 숙지한 상태에서 서비스를 이용하는 게 바람직하다는 평가다.

※조인디와 계약을 맺고 게재한 기사입니다.(원문 기사 보기☜)

/조인디 권선아 기자

정명수 기자

jms@decenter.kr