4월 암호화폐 해킹 역대 최대 29건…579억 달러 손실 발생

암호화폐 업계에 4월은 최악의 달이었다. 디파이램마(DeFiLlama)에 따르면 지난달 29개 암호화폐 프로젝트가 해킹 또는 익스플로잇을 당했으며, 이는 암호화폐 역사상 가장 많은 월간 해킹 건수였다.

특히 솔라나 기반 탈중앙화 거래소 드리프트(Drift)와 이더리움 기반 리스테이킹 앱 켈프 DAO(Kelp DAO)가 해킹당해 총 5,790억 달러(약 7,700억 원)의 손실을 입었다. 이 두 사건은 업계의 신뢰 crisis를 촉발했으며, 분산화 기술의 위험성을 다시 한 번 확인시켰다.

디파이(DeFi) 공간, 인공지능과 사회공학적 공격에 취약

최근 몇 년간 암호화폐 해킹 건수와 피해 금액은 지속적으로 증가해 왔다. 한때 익스플로잇으로 악명 높았던 디파이 공간은 성숙했다고 평가됐지만, kini 다시 주목받고 있다 — 그리고 그 이유는 결코 긍정적이지 않다.

"현재 디파이는 주된 공격 대상입니다. 전반적으로 시스템을 해킹하는 것보다 인간의 취약점을 노리는 공격으로 전환되었습니다." — 마이클 펄(Michael Pearl), 암호화폐 보안 기업 시버스(Cyvers) 전략 담당 이사

디파이 프로토콜의 문제점은 중앙화된 단일 실패 지점(Single Point of Failure)에 있다고 전문가들은 지적한다. 대표적인 예로 드리프트와 켈프 DAO의 해킹이 있다.

• 드리프트 해킹(285억 달러 손실): 북한 해커들이 두 명의 드리프트 직원에게 사회공학적 공격을 가해 관리자 권한을 획득했고, 이를 통해 사용자 funds를 탈취했다.
• 켈프 DAO 해킹(273억 달러 손실): 켈프 DAO가 의존하던 레이어제로(LayerZero) 브릿지가 단일 운영자만으로도 동작하도록 설정되어 있었고, 해커들이 이를 악용해 funds를 탈취했다.

코드 버그 vs. 인간의 실수: 해킹 원인 분석

지난달 29건의 해킹 중 24건(83%)은 코드 버그가 원인이었다. 암호화폐 보안 전문가들은 인공지능의 발전이 디파이 프로토콜 공격 비용을 낮추고 속도를 높였다고 분석했다.

해커들은 이제 ChatGPT나 클로드(Claude)와 같은 AI 챗봇을 기반으로 한 대규모 언어 모델(Large Language Model)을 활용해 수천 줄의 코드를 초당 검색할 수 있게 됐다. 과거에는 수동으로 분석해야 했던 작업을 AI가 자동화하면서 공격 효율성이 극대화된 것이다.

흥미롭게도, 코드 버그가 원인이었던 해킹은 4월 총 6,350억 달러 손실 중 약 420억 달러(6.6%)에 불과했다. 이는 코드 버그보다는 인간의 실수나 중앙화된 시스템 설계가 더 큰 손실을 초래했다는 점을 시사한다.

역대 최악의 해킹은 2020년 12월

해킹 건수는 역대 최다를 기록했지만, 4월은 피해 금액으로는 가장 큰 달은 아니었다. 2020년 12월에는 해커들이 약 3조 5,000억 달러를 탈취한 것으로 보고됐다.

그러나 이 사건은 비트코인 채굴업체 루비안(LuBian)의 지갑이 해킹당한 것으로, 루비안이나 suspected 해커 모두 공개적으로 인정한 적이 없으며, 5년 가까이 발견되지 않았다. 블록체인 데이터 플랫폼 아르카믹 인텔리전스(Arkham Intelligence)는 이 해킹이 루비안의 보안 관행 부족으로 인해 발생했다고 분석했다.

전문가들은 디파이 프로토콜이 더 안전한 구조로 진화해야 하며, 특히 중앙화된 단일 실패 지점을 제거하는 노력이 필요하다고 강조했다. 그렇지 않으면 암호화폐 업계는 지속적인 위협에 노출될 수밖에 없을 것이다.