본문으로 건너뛰기

DeFi 2026년 1분기 해킹 보고서: 공격자들이 스마트 컨트랙트 대신 프라이빗 키와 클라우드 인프라를 노리며 1억 6,900만 달러 탈취

· 약 7 분
Dora Noda
Dora Noda
Software Engineer

DefiLlama의 최신 해킹 데이터베이스에 따르면, DeFi 프로토콜은 2026년 1분기에 34건의 익스플로잇을 통해 총 1억 6,900만 달러를 잃었습니다. 이 수치는 2025년 1분기의 15억 8,000만 달러라는 엄청난 금액에 비해 전년 대비 89% 감소한 수치이지만, 이러한 표면적인 개선 뒤에는 더 우려스러운 이야기가 숨어 있습니다. 이번 분기에 가장 많은 자금을 훔친 공격자들은 스마트 컨트랙트 코드를 단 한 줄도 건드리지 않았기 때문입니다.

숫자로 보는 이번 분기

2026년 1월 1일부터 3월 31일 사이, DefiLlama는 총 약 1억 6,900만 달러의 자산 피해를 입힌 34건의 개별 DeFi 프로토콜 익스플로잇을 기록했습니다. 1월은 1월 31일에 발생한 Step Finance의 4,000만 달러 규모 트레저리 침해 사건으로 인해 가장 큰 비중을 차지했습니다. 2월에는 Stellar 기반 Blend Protocol의 1,000만 달러 규모 오라클 조작 사건과 800만 달러 규모의 IoTeX 브릿지 탈취 사건 등 중간 규모의 사건들이 잇따랐습니다. PeckShield 데이터에 따르면, 3월은 3월 21일 Resolv Labs의 2,300만 달러 익스플로잇을 포함해 모든 프로토콜에서 총 약 5,200만 달러의 손실을 기록하며 마감되었습니다.

이러한 DeFi 관련 수치는 중앙화 거래소, 피싱 캠페인 및 인프라 공격을 포함할 경우 Cryip이 4억 5,000만 달러 이상으로 추정하는 광범위한 1분기 암호화폐 보안 지형 내에 위치합니다. 또한 이번 분기가 끝나자마자 4월 1일에 발생한 Drift Protocol의 2억 8,500만 달러 규모 익스플로잇은 보안 환경이 개선되고 있다는 모든 낙관론을 무색하게 만들었습니다.

스마트 컨트랙트는 더 이상 가장 취약한 연결 고리가 아닙니다

2026년 1분기의 결정적인 패턴은 명확합니다. 가장 피해가 컸던 공격들은 스마트 컨트랙트를 완전히 우회했습니다.

Step Finance (4,000만 달러, 1월 31일) — 공격자들은 경영진의 기기를 해킹하여 트레저리 지갑의 프라이빗 키를 추출한 후, 스테이킹된 포지션에서 261,932 SOL과 기타 트레저리 자산을 인출했습니다. 온체인 포렌식 결과, 며칠에 걸쳐 계획된 체계적인 작업임이 드러났습니다. 프로토콜은 Token22 표준의 보안 기능과 신속한 프로토콜 수준의 개입을 통해 약 470만 달러를 회수했으나, 이는 도난당한 금액의 12%에도 미치지 못합니다.

Resolv Labs (2,300만 달러, 3월 21일) — 공격자가 Resolv의 AWS 키 관리 서비스(KMS) 환경을 침해하여 프로토콜의 특권 서명 키에 대한 제어권을 획득했습니다. 그들은 10만~20만 달러 상당의 USDC로 두 건의 스왑 요청을 생성한 후, 탈취한 SERVICE_ROLE 키를 사용하여 담보가 없는 8,000만 개의 USR 스테이블코인 발행을 승인했습니다. 해당 토큰의 달러 페깅은 0.20달러까지 폭락했다가 0.56달러로 부분적으로 회복되었습니다. 근본 원인은 온체인 발행 한도 없이 단일 클라우드 호스팅 키에 절대적인 신뢰를 부여한 아키텍처였습니다.

IoTeX 브릿지 (800만 달러, 2월) — 크로스체인 브릿지 인프라의 프라이빗 키 유출과 액세스 제어 실패로 인해 자금이 유출되었습니다. 이는 크로스체인 유동성을 지속적으로 위협하는 반복적인 패턴입니다.

종합해보면, 프라이빗 키 유출과 액세스 제어 실패는 단 하나의 스마트 컨트랙트 취약점도 이용하지 않고 1분기 손실액의 40%가 넘는 7,000만 달러 이상의 피해를 입혔습니다.

오라클 조작: 지속적인 시스템적 리스크

프라이빗 키 공격이 헤드라인을 장식하는 동안, 오라클 조작은 여전히 공격자들의 신뢰할 수 있는 무기로 남았습니다. 1분기에는 Aave V3, Venus Protocol, Moonwell, Blend Protocol, Valinity 등이 오라클 관련 익스플로잇의 피해를 입었습니다. 유동성이 낮은 풀이나 보안이 취약한 외부 데이터 소스에 의존하는 가격 피드는 대출 프리미티브 전반에서 시스템적인 약점으로 남아 있습니다.

4월 1일에 발생한 Drift Protocol 익스플로잇은 이 기술이 얼마나 정교해질 수 있는지를 보여주었습니다. 공격자는 'CarbonVote Token'(CVT)이라는 가짜 토큰을 생성하고 Raydium에 500달러 규모의 유동성 풀을 조성한 뒤, 수주간 자전 거래(Wash trading)를 통해 가격을 1달러 근처로 인위적으로 조작했습니다. 조작된 가격이 오라클에 의해 수용되자, 공격자는 탈취한 관리자 키를 사용하여 Drift에 CVT를 상장하고 인출 한도를 높인 후, 조작된 가격으로 수억 개의 CVT를 담보로 예치하여 20개에 가까운 금고에서 2억 8,500만 달러를 20분 만에 가로챘습니다.

TRM Labs는 이 공격의 준비 과정이 3월 11일까지 거슬러 올라간다는 것을 추적했으며, 당시 10 ETH가 토네이도 캐시(Tornado Cash)에서 인출되어 평양 시간 오전 9시경에 이동하기 시작했습니다. 조사 결과는 2025년 2월 14억 달러 규모의 Bybit 거래소 해킹의 배후인 북한의 국가 후원 해킹 조직 라자루스 그룹(Lazarus Group)을 가리키고 있습니다.

라자루스 그룹의 그림자

북한의 라자루스 그룹은 암호화폐 보안에 여전히 큰 위협이 되고 있습니다. 침해된 개발자 컴퓨터를 통해 Safe{Wallet} UI에 악성 자바스크립트를 주입하여 Bybit에서 역사상 최대 규모의 암호화폐 탈취를 성공시킨 후, 이 조직은 DeFi 타겟에 맞춰 접근 방식을 더욱 정교하게 다듬은 것으로 보입니다.

Drift Protocol 공격은 가짜 토큰 생성, 오라클 조작, 관리자 키 탈취 등 여러 벡터를 하나의 조율된 작업으로 결합했습니다. Chainalysis는 2025년 암호화폐 도난액이 총 34억 달러에 달했으며, 그 중 상당 부분을 라자루스 그룹이 차지했다고 보고했습니다. 2026년의 패턴은 이 조직이 키 관리의 단일 장애점이 중앙화 거래소와 맞먹는 공격 표면을 생성하는 DeFi 프로토콜을 점점 더 많이 겨냥하고 있음을 시사합니다.

코드 감사에서 인프라 감사로

1분기 데이터는 업계가 보안에 대해 생각하는 방식을 재고하게 만듭니다. 중요 컨트랙트의 경우 15만 달러 이상, 형식 검증(Formal verification)을 포함할 경우 20만 달러가 넘는 비용이 드는 스마트 컨트랙트 감사는 여전히 필요하지만, 이제 그것만으로는 부족합니다.

2026년의 현대적인 보안 평가는 코드 리뷰, 정적 분석, 불변성 테스트(Invariant testing), 경제적 공격 모델링, 오라클 스트레스 테스트, 키 관리 리뷰, 거버넌스 구성 감사, 크로스체인 신뢰 경계 분석, 런타임 모니터링 및 사고 대응 계획을 포함하는 것으로 확장되었습니다. 자동화된 감사는 하위 수준 결함의 약 70~80%를 잡아내지만, 가장 치명적인 1분기 공격들은 그 틈새인 침해된 개발자 기기, 잘못 설정된 클라우드 IAM 정책, 단일 서명 키에 대한 아키텍처적 과의존을 공략했습니다.

새로운 보안 계층 구조는 다음과 같이 명확해지고 있습니다:

  • 스마트 컨트랙트 버그는 도구의 개선(형식 검증, 퍼징, 다중 독립 감사)으로 인해 빈도가 줄어들고 있습니다.
  • 오라클 조작은 유동성이 낮은 풀이 대출 프로토콜에 가격 데이터를 공급하는 곳마다 지속됩니다.
  • 프라이빗 키 및 인프라 공격은 가장 빠르게 성장하는 벡터로, 코드 감사로 해결할 수 없는 인간 및 운영 계층을 이용합니다.
  • **사회 공학(Social engineering)**은 피해 금액 기준으로 여전히 가장 큰 공격 범주로 남아 있습니다.

프로토콜이 지금 해야 할 일

온체인에서 오프체인 공격 벡터로의 변화는 그에 상응하는 방어 태세의 변화를 요구합니다.

키 관리: 일상적인 운영에 사용되는 기기에 저장된 트레저리 키는 용납할 수 없는 리스크입니다. 에어갭(Air-gapped) 하드웨어 지갑, 지리적으로 분산된 멀티시그(다중 서명) 체계, 대규모 자금 이동을 위한 타임락(Time-lock) 트랜잭션은 더 이상 선택 사항이 아닌 필수 요구 사항입니다.

클라우드 인프라: 클라우드 KMS 환경에 서명 키를 저장하는 모든 프로토콜은 해당 환경이 표적이라고 가정해야 합니다. 하드웨어 보안 모듈(HSM), IAM 정책 강화, 키 사용 패턴에 대한 이상 탐지를 포함하는 심층 방어 전략이 표준이 되어야 합니다.

온체인 안전장치: Resolv 익스플로잇이 성공한 이유 중 하나는 스마트 컨트랙트에 최대 발행 한도가 없었고 유효한 서명만 확인했기 때문입니다. 주요 작업(발행, 인출, 관리자 변경)에 대한 프로그래밍 방식의 제한은 키가 침해되었을 때도 안전망을 제공합니다.

오라클 회복탄력성: 프로토콜은 신규 상장되거나 거래량이 적은 자산의 가격 조작에 저항하기 위해 최소 유동성 임계값, 다수의 독립적인 가격 소스, 시간 가중 평균 가격(TWAP)을 요구해야 합니다.

향후 전망: 2026년 2분기 그 이후

2025년의 수치를 왜곡한 Bybit 사건을 제외하기 전까지는 DeFi 해킹 손실이 전년 대비 89% 감소한 것이 고무적으로 보일 수 있습니다. 하지만 14억 달러 규모의 Bybit 해킹을 제외하면 2025년 1분기 DeFi 손실은 약 1억 8,000만 달러였으며, 이는 2026년 1분기의 1억 6,900만 달러가 획기적으로 개선된 것이 아니라 사실상 정체 상태임을 의미합니다.

Drift Protocol의 2억 8,500만 달러 규모 익스플로잇이 이미 4월의 첫날을 장식하면서 2분기는 암울하게 시작되었습니다. 보안 전문가들은 2026년에 자격 증명 탈취, 사회 공학, AI 지원 정찰, 그리고 더욱 정교해진 인프라 익스플로잇 등 훨씬 더 진보된 기술이 등장할 것으로 예상하고 있습니다.

DeFi 업계는 명백한 스마트 컨트랙트 버그 문제는 어느 정도 해결했습니다. 하지만 아직 해결하지 못한, 그리고 2026년 1분기가 우리에게 뼈아프게 각인시킨 문제는 가장 위험한 공격자들이 더 이상 당신의 코드를 이기려 하지 않는다는 점입니다. 그들은 당신의 키를 훔치려 하고 있습니다.

BlockEden.xyz는 보안 모니터링 및 인프라 강화 기능이 내장된 엔터프라이즈급 블록체인 API 서비스를 제공합니다. 회복탄력성 있는 노드 인프라가 필요한 DeFi 프로토콜 구축 팀이라면, 당사의 API 마켓플레이스를 방문하여 지속 가능한 기반 위에서 서비스를 구축해 보십시오.

Share on Twitter