본문으로 건너뛰기

AI 에이전트가 $ 5억 5,000만 규모의 스마트 컨트랙트를 공격했습니다 — 공격당 비용은 단돈 $ 1.22 였습니다

· 약 8 분
Dora Noda
Dora Noda
Software Engineer

커피 한 잔 가격보다 저렴한 1.22달러로 이제 AI 에이전트가 스마트 컨트랙트를 스캔하고, 취약점을 식별하며, 작동 가능한 익스플로잇을 생성할 수 있습니다. 이는 보안 백서에 나오는 이론적인 시나리오가 아닙니다. Anthropic과 MATS Fellows 연구원들이 2025년 말에 발표한, 실제 스마트 컨트랙트 공격 능력을 평가하는 최초의 벤치마크인 SCONE-bench의 측정 결과입니다. 2020년부터 2025년 사이 실제로 익스플로잇된 405개의 컨트랙트를 대상으로 한 테스트에서, 10개의 프런티어 AI 모델은 총 207개에 대해 즉각 실행 가능한 익스플로잇을 생성했으며, 시뮬레이션 결과 5억 5,010만 달러의 도난 자금이 발생했습니다.

그 영향은 연구실을 훨씬 뛰어넘습니다. 디파이(DeFi) 프로토콜은 총 1,000억 달러 이상의 총 예치 자산(TVL)을 보유하고 있습니다. Anthropic의 데이터가 보여주는 궤적처럼 익스플로잇 능력이 1.3개월마다 두 배씩 계속 증가한다면, 온체인 금융을 뒷받침하는 보안 가정이 변곡점에 도달하고 있는 것입니다.

SCONE-bench 내부: 최초의 달러 표시 익스플로잇 벤치마크

전통적인 스마트 컨트랙트 보안 벤치마크는 AI가 재진입성(reentrancy), 오라클 조작, 접근 제어 결함과 같은 취약점 범주를 탐지할 수 있는지를 측정합니다. SCONE-bench는 근본적으로 다른 접근 방식을 취합니다.

DefiHackLabs 저장소를 기반으로 구축된 이 벤치마크에는 2020년에서 2025년 사이 이더리움(Ethereum), BNB 스마트 체인(BNB Smart Chain), 베이스(Base)에서 실제로 익스플로잇된 405개의 컨트랙트가 포함되어 있습니다. 각 테스트는 원래 익스플로잇이 발생한 정확한 블록 번호에서 포크된 로컬 블록체인이 있는 Docker 컨테이너 내부에서 실행되어 재현 가능한 조건을 보장합니다.

이 벤치마크는 모델에게 버그 유형을 분류하라고 요구하지 않습니다. 대신 "돈을 훔치라"고 요구합니다.

에이전트는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP)을 통해 샌드박스 환경과 상호 작용하며, 컨트랙트 소스 코드 읽기, 온체인 상태 조회, 트랜잭션 제출을 위한 도구에 접근할 수 있습니다. 평가 지표는 간단합니다. 바로 시뮬레이션된 도난 자금의 총 달러 가치입니다. 이 달러 표시 점수 시스템은 결과를 실제 익스플로잇 경제성과 직접 비교할 수 있게 해줍니다.

연구원들이 Claude Opus 4.5, Claude Sonnet 4.5, GPT-5 등을 포함한 10개의 주요 AI 모델을 투입했을 때 결과는 충격적이었습니다. 모델들은 집합적으로 벤치마크 컨트랙트의 51.11%를 익스플로잇했습니다.

Claude Opus 4.5 단독으로 지식 컷오프 시점인 2025년 3월 이후에 침해된 17개의 컨트랙트를 익스플로잇했으며, 이는 450만 달러의 시뮬레이션 가치에 해당합니다. Claude Sonnet 4.5 및 GPT-5와 함께 컷오프 이후의 익스플로잇 가치는 460만 달러에 달했으며, 이는 이러한 모델이 훈련 중에 본 적이 없는 취약점을 발견하고 익스플로잇할 수 있음을 입증합니다.

모든 프로토콜이 경계해야 할 1.22달러의 공격 경제학

AI 기반 익스플로잇의 경제성은 임계점을 넘었습니다. 최근 배포된 2,849개의 BNB 스마트 체인 컨트랙트를 대상으로 GPT-5를 테스트한 결과 총 3,476달러가 소요되었으며, 이는 컨트랙트당 평균 1.22달러에 불과합니다. 이 정도 가격대라면 공격자는 주요 체인에 배포되는 모든 새로운 컨트랙트를 푼돈으로 스캔할 수 있습니다.

효율성 향상은 가속화되고 있습니다. Anthropic은 4세대에 걸친 Claude 모델을 분석한 결과, 성공적인 익스플로잇을 생성하는 데 필요한 중앙값 토큰 수가 70.2% 감소했음을 발견했습니다. 실질적으로 오늘날의 공격자는 6개월 전과 동일한 컴퓨팅 예산으로 3.4배 더 많은 성공적인 익스플로잇을 수행할 수 있습니다.

가장 놀라운 사실은, 연구원들이 알려진 취약점이 없는 최근 배포된 2,849개의 컨트랙트에 GPT-5와 Claude Sonnet 4.5를 투입했을 때, 두 에이전트가 독립적으로 이전에 알려지지 않은 두 개의 제로데이(zero-day) 버그를 발견하고 그에 따른 공격 전략을 생성했다는 점입니다.

해당 제로데이의 잠재적 익스플로잇 가치는 3,694달러였습니다. 디파이 기준으로는 적은 금액이지만, 그 원칙은 매우 중요합니다. AI 에이전트는 단순히 알려진 공격을 재현하는 것이 아니라, 새로운 공격을 찾아내고 있습니다.

지난 1년 동안 2025년 벤치마크 문제 하위 집합에서 잠재적인 익스플로잇 수익은 대략 1.3개월마다 두 배로 증가했습니다. 이러한 궤적이 유지된다면 컨트랙트 배포와 AI가 이를 뚫는 능력 사이의 시간 간격은 급격히 줄어들고 있습니다.

벤치마크에서 현실로: 문웰(Moonwell) 사건

연구 벤치마크와 실제 결과 사이의 다리는 2026년 2월 17일에 현실화되었습니다. 디파이 대출 프로토콜인 문웰(Moonwell)은 약 178만 달러의 손실을 초래한 보안 침해 사고를 공개했습니다. 이 취약점은 AI가 생성한 코드, 특히 Claude Opus 4.6이 공동 작성한 코드의 오라클 설정 오류로 거슬러 올라갔습니다.

기술적 오류는 의외로 단순했습니다. cbETH/ETH 환율에 ETH/USD 가격 피드를 곱하는 대신, AI가 생성한 코드는 원시 교환 비율을 이미 달러로 표시된 것처럼 사용했습니다. 그 결과 cbETH의 가격은 실제 가치인 약 2,200달러가 아닌 약 1.12달러로 책정되어 급격한 청산 연쇄 반응을 일으켰습니다.

문웰 사건은 인간의 감독을 최소화한 채 AI가 생성한 코드에 크게 의존하는 개발 방식인 "바이브 코딩(vibe coding)"과 직접적으로 연관된 첫 번째 주요 디파이 익스플로잇으로 널리 논의되고 있습니다. 이는 AI 모델이 기존 컨트랙트의 취약점을 찾는 능력이 향상됨과 동시에, 개발에 부주의하게 사용될 경우 새로운 취약점을 도입할 수도 있다는 이중적 위협을 구체화합니다.

방어적 군비 경쟁: 검뿐만 아니라 방패로서의 AI

보안 커뮤니티는 가만히 있지 않았습니다. 2026년 2월, 스마트 컨트랙트 보안 업체인 Cecuro는 특정 목적을 위해 구축된 AI 보안 에이전트가 9,680만 달러 규모의 피해를 입힌 90개의 DeFi 컨트랙트 중 92%에서 취약점을 발견했다는 벤치마크 결과를 발표했습니다. 이에 비해 동일한 기본 모델에서 실행되는 베이스라인 GPT-5.1 코딩 에이전트는 750만 달러 가치의 취약점을 34%만 탐지했습니다. 이러한 격차는 단순한 AI 성능이 아니라, 그 위에 쌓인 도메인 특화 보안 방법론에서 비롯되었습니다.

OpenAI와 Paradigm은 40건의 전문 감사에서 엄선된 120개의 취약점으로 구성된 테스트 프레임워크인 EVMbench를 공동 출시했습니다. AI가 스마트 컨트랙트를 얼마나 잘 이해하고 보호할 수 있는지 측정하기 위해 설계된 EVMbench는 공개 감사 경진대회와 Paradigm의 자체 Tempo 감사 프로세스에서 데이터를 가져와 방어용 AI 역량을 평가하는 표준화된 방법을 제공합니다.

Anthropic은 SCONE-bench를 오픈 소스로 공개했습니다. 공격자들이 이미 독점적인 익스플로잇 도구를 구축할 강력한 경제적 유인을 가지고 있다고 판단했기 때문입니다. 방어적 벤치마크를 공개하지 않는 것은 정당한 보안 연구자들의 손발을 묶는 결과만 초래할 것입니다. 익스플로잇 벤치마크를 공개함으로써, 회사는 전체 보안 생태계가 테스트하고 반복하며 더 강력한 방어 체계를 구축할 수 있도록 하는 것을 목표로 합니다.

나타나고 있는 패턴은 명확합니다. 범용 AI 모델은 스마트 컨트랙트를 겨냥할 때 위험하지만, 도메인 전문 지식, 형식 검증(formal verification) 지식, 보안 특화 도구로 훈련된 전문화된 보안 에이전트는 방어 측면에서 범용 모델을 압도적으로 능가합니다. 이제 경쟁은 새로운 모델 세대가 나올 때마다 자동으로 향상되는 공격 능력과 신중하고 전문가 주도의 엔지니어링이 필요한 방어 능력 사이의 싸움입니다.

프로토콜 팀이 지금 해야 할 일

SCONE-bench 결과와 Moonwell 사건은 스마트 컨트랙트 보안이 나아가야 할 방향을 명확히 보여줍니다. 몇 가지 방어 전략은 이제 필수적입니다:

  • 지속적인 AI 기반 감사: 모델이 출시될 때마다 진화하는 위협에 대응하기 위해 일회성 정적 감사는 불충분합니다. 프로토콜은 공격 능력의 향상 속도에 맞춘 지속적인 AI 보안 모니터링이 필요합니다.
  • AI 생성 코드에 대한 다층 검증: Moonwell 익스플로잇 사건은 AI가 작성한 Solidity 코드가 인간이 작성한 코드와 동일하거나 그 이상의 정밀 조사를 요구한다는 점을 시사합니다. 자산 가격 책정에 관여하는 모든 코드 경로는 자동화된 오라클 검증, 형식 검증 및 적대적 테스트가 표준이 되어야 합니다.
  • 공격 비용의 경제적 모델링: 컨트랙트 스캔당 1.22달러라는 익스플로잇 비용은 이제 대부분의 버그 바운티 프로그램이 보장하는 최소 임계값보다 훨씬 낮습니다. 프로토콜은 보안 경제성을 재평가하여 바운티 금액과 보험 보장 범위가 새로운 비용 구조를 반영하도록 해야 합니다.
  • 적대적 벤치마킹: 팀은 배포 전 SCONE-bench 및 유사한 프레임워크를 통해 컨트랙트를 실행해야 하며, AI 기반 익스플로잇 테스트를 표준 배포 파이프라인의 일부로 취급해야 합니다.
  • 전문화된 에이전트를 통한 심층 방어: 범용 AI는 특수 목적의 보안 에이전트를 대체할 수 없습니다. Cecuro의 전문화된 시스템에서 나타난 92% 탐지율과 베이스라인 GPT-5.1의 34% 탐지율 차이는 도메인 특화 보안 도구의 중요성을 강조합니다.

온체인 보안의 변곡점

데이터는 명확합니다. 스마트 컨트랙트에 대한 AI 익스플로잇 능력은 기하급수적으로 성장하고 있으며, 수익 잠재력은 1.3개월마다 두 배로 늘어나는 반면 공격당 비용은 모델 세대가 거듭될수록 감소하고 있습니다. 오늘날 시뮬레이션에서 익스플로잇된 5억 5천만 달러는 방어 조치가 속도를 맞추지 못할 경우 내일 메인넷에서 일어날 수 있는 일을 예고합니다.

하지만 익스플로잇을 가능하게 하는 것과 동일한 AI 역량은 업계가 보유한 가장 강력한 방어 도구의 동력이 되기도 합니다. 질문은 AI가 스마트 컨트랙트 보안을 재편할 것인지가 아닙니다. AI는 이미 그렇게 하고 있습니다. 문제는 1,000억 달러 이상의 온체인 자산을 배포하는 빌더, 감사자, 프로토콜들이 공격자가 AI 기반 공격을 수용하는 것과 같은 시급성을 가지고 AI 기반 방어를 수용할 것인지 여부입니다.

1.3개월의 배증 속도는 방심할 여유를 주지 않습니다.

BlockEden.xyz는 20개 이상의 네트워크에서 엔터프라이즈급 블록체인 API 인프라를 제공하여 개발자가 신뢰할 수 있는 노드 액세스를 통해 안전한 기반 위에서 빌드할 수 있도록 돕습니다. API 마켓플레이스 둘러보기를 통해 오랫동안 지속되도록 설계된 인프라로 dApp에 힘을 실어주세요.

Share on Twitter