본문으로 건너뛰기

드리프트, 서클(Circle) 제외: DeFi의 스테이블코인 신뢰 플레이북을 새로 쓴 1억 4,800만 달러 규모의 구제 금융

· 약 13 분
Dora Noda
Dora Noda
Software Engineer

3년 동안 DeFi 업계 내부의 "USDC vs USDT" 논쟁은 유동성 깊이, 수수료 등급, 그리고 어떤 브릿지가 가장 깔끔한 크로스체인 레일을 갖추고 있는지에 관한 것이었습니다. 그러다 2026년 4월 16일, 단 하나의 솔라나(Solana) 프로토콜이 이 논쟁을 동결 정책에 관한 질문으로 바꾸어 놓았습니다. 그리고 그 대답은 스테이블코인의 규제적 모호성을 약점에서 강점으로 전환시켰습니다.

4월 1일 발생한 익스플로잇(exploit)으로 인해 약 12분 만에 TVL의 절반 이상인 2억 8,500만 달러를 탈취당했던 드리프트 프로토콜(Drift Protocol)은 USDT 결제 기반의 무기한 선물 거래소로 재출시한다고 발표했습니다. 테더(Tether)와 몇몇 마켓 메이킹 파트너들은 사용자들을 위한 복구 풀을 조성하기 위해 최대 1억 4,800만 달러를 투입하기로 약속했습니다. 반면, 수년간 드리프트의 주요 결제 자산이었던 USDC의 발행사 서클(Circle)은 구제 금융은 물론, 비판자들이 도난 자금 회수를 위해 희망했던 동결 조치에서도 눈에 띄게 배제되었습니다.

이 단 한 번의 전환은 지난 2년간 GENIUS 법안을 둘러싼 컴플라이언스 책략보다 서클과 테더 사이의 경쟁 구도를 재편하는 데 더 큰 역할을 했습니다. 그 이유는 다음과 같습니다.

2억 8,500만 달러의 피해를 입힌 12분

4월 1일 발생한 드리프트 공격은 스마트 컨트랙트 버그가 아니었습니다. 이는 블록체인 포렌식 기업인 엘립틱(Elliptic)과 TRM 랩스(TRM Labs)가 북한의 라자루스 그룹(Lazarus Group, UNC4736 또는 TraderTraitor로도 추적됨)의 소행으로 공식 지목한 6개월간의 사회공학적 캠페인이었습니다.

드리프트의 사후 보고서와 체이널리시스(Chainalysis)의 복원 과정에 따르면, 공격자들은 수개월 동안 퀀트 트레이딩 기업으로 위장하여 드리프트 기여자들과 신뢰 관계를 쌓고 더 높은 수준의 권한을 노렸습니다. 기술적으로는 트랜잭션에 지금 서명하고 나중에 방송할 수 있는 솔라나의 "듀러블 논스(durable nonces)" 기능을 악용했습니다. 보안위원회(Security Council) 멤버들은 공격자가 관리자 권한을 갖게 되었을 때 비로소 효과가 나타나는 휴면 트랜잭션에 미리 서명하도록 속았습니다.

권한을 획득한 후의 과정은 기계적이었습니다. 공격자들은 자신들이 직접 제어하는 가치 없는 토큰(CVT로 명명됨)을 적격 담보로 화이트리스트에 등록하고, 조작된 가격으로 5억 개의 CVT를 예치한 뒤, 이 가공의 담보를 이용해 USDC, SOL, ETH 등 2억 8,500만 달러 규모의 실제 자산을 인출했습니다. 자금이 빠져나가는 데는 약 12분이 걸렸습니다.

그 여파로 DeFi 분석가들이 수년간 인용하게 될 수치가 하나 기록되었습니다. 도난당한 USDC 중 약 2억 3,200만 달러가 6시간 동안 100건 이상의 트랜잭션을 통해 솔라나에서 이더리움으로 브릿징되었습니다. 서클의 자체 크로스체인 전송 프로토콜(CCTP)이 사용되었음에도 불구하고, 서클로부터 단 한 건의 동결 조치도 이루어지지 않았습니다.

알레어의 "도덕적 딜레마" 변론

익스플로잇 발생 12일 후, 서클의 CEO 제레미 알레어(Jeremy Allaire)는 서울에서 열린 기자 회견에서 회사의 입장을 밝혔습니다. 그는 USDC 동결은 법원이나 법 집행 기관의 지시가 있을 때만 실행될 것이라고 말했습니다. 단지 의심만으로 — 그것이 신뢰할 수 있고 잘 문서화된 의심일지라도 — 조치를 취하는 것은 사기업이 무허가형(permissionless) 디지털 현금이어야 할 자산을 자의적으로 압류하는 "도덕적 딜레마"를 초래할 것이라고 주장했습니다.

이러한 프레이밍은 의도적이었습니다. 서클은 지난 3년의 대부분을 USDC가 브뤼셀, 싱가포르, 워싱턴의 규제 당국이 주저 없이 승인할 수 있는 '컴플라이언스 우선' 스테이블코인임을 브랜드화하는 데 보냈습니다. 알레어의 주장은 이러한 태도가 곧 서클이 자경단처럼 행동하는 것을 막는 태도와 같다는 것입니다. 그는 서클이 사적 책임을 지지 않으면서 더 신속하게 행동할 수 있도록, 발행사 주도의 예방적 동결에 대한 "세이프 하버(safe harbor)" 조항을 CLARITY 법안에 포함해 줄 것을 의회에 요청한 것으로 알려졌습니다.

비판자들은 이를 받아들이지 않았습니다. 온체인 수사관이자 관련 논쟁의 흐름을 주도하는 ZachXBT는 보고서를 통해, 서클의 동결 프로세스 지연으로 인해 2022년 이후 약 15건의 문서화된 사례에서 4억 2,000만 달러 이상의 불법 자금이 USDC를 통해 빠져나갔다고 주장했습니다. 며칠 뒤 드리프트 익스플로잇에 대한 서클의 과실을 묻는 집단 소송이 이어졌습니다.

알레어의 옹호자들은 이러한 컴플라이언스 우선 원칙이 일반 보유자들을 자의적인 압류나 언론 보도를 통한 정부의 통제로부터 보호하는 바로 그 장치라고 지적합니다. 이 상충 관계(trade-off)는 실재하며, 드리프트의 경영진은 더 이상 이 부담을 짊어지지 않기로 결정한 것입니다.

테더의 반격: 1억 4,800만 달러와 다른 신뢰 SLA

4월 16일, 드리프트는 복구 패키지를 공개했습니다. 테더가 1억 2,750만 달러를 출연했고, 윈터뮤트(Wintermute), 컴벌랜드(Cumberland), GSR 등 파트너들이 추가로 2,000만 달러를 보탰습니다. 이 구조는 보조금이 아니라 수익 연동형입니다. 새로 태어난 드리프트 무기한 선물 거래소가 수수료를 벌어들임에 따라 원금을 회수하며, 시간이 지남에 따라 약 2억 9,500만 달러의 사용자 잔고를 상환하는 것을 목표로 합니다.

이 거래에는 대부분의 관찰자가 예상치 못한 전환이 포함되었습니다. 이제 드리프트의 주요 결제 자산은 USDC가 아닌 USDT가 될 것이라는 점입니다. 서클이 지켜보는 가운데 100건 이상의 브릿지 트랜잭션을 통해 2억 3,000만 달러 이상의 도난된 USDC를 보냈던 프로토콜이, 앞으로는 사용자 잔고와 수수료를 테더의 스테이블코인으로 표시하게 된 것입니다.

일주일 뒤인 4월 23일, 테더는 이 스왑에 쐐기를 박았습니다. 테더는 미 재무부 해외자산통제국(OFAC) 및 미국 법 집행 기관과 협력하여 트론(Tron) 네트워크상의 약 3억 4,400만 달러 규모의 USDT를 동결했습니다. 이는 펙쉴드(PeckShield)가 식별한 두 개의 지갑(하나는 약 2억 1,300만 달러, 다른 하나는 약 1억 3,100만 달러 보유)에 분산되어 있었으며, 드리프트 및 KelpDAO 익스플로잇을 포함한 불법 활동과의 연관성이 확인된 계정들이었습니다.

대조적인 모습 자체가 메시지였습니다. 서클은 법원 명령 없이는 동결을 거부했고, 테더는 공식적인 법적 절차에 앞서 법 집행 기관과 협력하여 3억 4,400만 달러를 동결했습니다. 2억 8,500만 달러의 손실로 고통받고 있던 드리프트 보안위원회에게 실질적인 운영상의 차이는 바로 이것이었습니다.

신뢰가 전환 가능한 SLA 가 되다

2026년 4월까지 "어떤 스테이블코인이 DeFi 에서 승리할 것인가"는 주로 유동성의 문제였습니다. USDC 는 가장 깨끗한 규제 서사, 가장 깊은 법정화폐 온램프 (fiat on-ramps), 그리고 Coinbase, MetaMask, Ethereum DeFi 스택 전반에 걸친 가장 자연스러운 통합을 보유하고 있었습니다. USDT 는 전 세계적으로 더 큰 시장 점유율을 가지고 있었지만, DeFi 프로토콜 설계에서는 USDC 의 평판 후광에 밀려 2순위 시민으로 취급받았습니다.

Drift 의 전환은 그 질문을 완전히 재구성합니다. 이제 동결 태세 (freeze posture)가 프로토콜이 선택할 수 있는 측정 가능한 서비스 수준 계약 (SLA)이 된다면, "어떤 스테이블코인 발행사가 나의 익스플로잇 (exploit)에 가장 빨리 대응하는가"는 브랜딩의 문제가 아닌 조달 결정의 문제가 됩니다. 그리고 그 축에서:

  • Circle: 법적 및 평판 리스크를 이유로 법원 명령에 의한 동결만을 공개적으로 약속했습니다. 동결까지 걸리는 시간은 기껏해야 며칠 또는 몇 주 단위로 측정됩니다.
  • Tether: 공식적인 절차를 기다리지 않고 신뢰할 수 있는 플래그 (flag)에 따라 즉각적으로, 종종 몇 시간 내에 협력하여 동결할 의사가 있습니다.

두 태세 중 어느 것도 명확하게 "더 나은" 것은 아닙니다. Circle 의 입장은 일반 보유자를 과도한 개입으로부터 보호합니다. Tether 의 입장은 DeFi 프로토콜을 실질적인 손실로부터 보호합니다. 차이점은 지금까지 극소수의 프로토콜만이 이 선택을 능동적으로 결정할 수 있는 것으로 간주했다는 것입니다. Drift 는 그것이 가능하다는 것과 발행사가 9억 달러 규모의 복구 약속으로 그 선택을 뒷받침할 의향이 있음을 증명했습니다.

이 부분이 Circle 의 전략 팀이 우려해야 할 대목입니다. 2025년 7월에 법으로 제정된 GENIUS 법안은 USDC 에게 구조적 이점인 것으로 널리 해석되었습니다: 깨끗한 예비금, 미국 라이선스, MiCA 호환성, 그리고 은행과 재무 담당자가 법적 검토 없이 자산을 보유할 수 있게 해주는 규제적 승인 말입니다. 미국 은행 라이선스가 없는 Tether 는 미국 내에서 불리한 위치에 처할 것으로 예상되었습니다.

그러나 Drift 의 전환은 반대 가설을 제시합니다. 프로토콜이 스스로 자산을 수탁하고 잔액을 결제하는 DeFi 에서는 규제적 모호성이 운영의 유연성으로 번역됩니다. Circle 의 GENIUS 법안 준수 — USDC 를 은행에서 거래 가능하게 만드는 바로 그 요소 — 는 또한 법원을 매개로 하는 더 느린 동결 절차에 USDC 를 묶어버립니다. Tether 의 느슨한 규제적 고정은 더 빠른 행동을 가능하게 합니다. 사용자가 방금 라자루스 (Lazarus)에게 TVL 의 절반을 잃은 퍼페추얼 DEX 에게는 빠른 것이 승리합니다.

솔라나 DeFi 가 뒤따를 것인가?

남은 질문은 Drift 가 고립된 사례로 남을지, 아니면 솔라나 DeFi 내부에서 USDC 에서 USDT 로의 광범위한 로테이션의 선봉이 될지 여부입니다. 지금까지의 신호는 엇갈리지만 후자 쪽으로 기울고 있습니다.

  • Drift 의 예치금 회복: 공개 TVL 추적기에 따르면 재출시 발표 후 72시간 이내에 예치금이 약 +12% 성장했습니다. 사용자들은 발행사 변경을 처벌하기보다 결정적인 백스톱 (backstop) 대응에 보상하는 것으로 보입니다.
  • 솔라나 DeFi 상황: 2026년 4월 초 솔라나 DeFi 의 총 TVL 은 약 94억 달러였으며, Jupiter, Kamino, Marinade, Jito 가 가장 큰 비중을 차지했습니다. Drift 의 2억 8,500만 달러 손실만으로도 그 기반의 약 3%를 차지했습니다.
  • 블랙 에이프릴 (Black April): 2026년 4월 한 달 동안 30건의 사건을 통해 6억 600만 달러 이상의 DeFi 익스플로잇 손실이 발생했으며, 영향을 받은 프로토콜 전반에서 130억 달러 이상의 TVL 유출이 있었습니다. 거시적 환경은 운영 회복력을 입증할 수 있는 프로토콜에 보상하고, 그렇지 못한 프로토콜에는 벌을 줍니다.
  • Jupiter 의 병행 이동: Jupiter 는 2025년 말 출시된 Ethena 파트너 스테이블코인인 JupUSD 로 7억 5,000만 달러의 USDC 유동성을 이전하고 있습니다. 동기는 수익률이지 동결 정책이 아니지만, 솔라나 DeFi 가 USDC 이외의 것으로 잔액을 표시할 의향이 있다는 방향성 메시지는 Drift 가 이를 명시하기 전부터 이미 존재했습니다.

만약 Kamino, Marginfi 또는 Jupiter 가 향후 90일 이내에 유사한 변화를 신호한다면, "DeFi 에서의 USDC 지배력" 서사는 대대적인 수정이 필요할 것입니다. 그렇지 않다면 Drift 는 비정상적인 압박 속에서 비정상적인 조치를 취한 프로토콜에 대한 경고성 각주로 남게 될 것입니다.

스테이블코인 엔드게임이 더 흥미로워졌다

이제 세 가지 그럴듯한 결말이 가능해졌습니다.

결말 1: Circle 이 동결 정책을 발표한다. 현상 유지로 돌아가는 가장 간단한 길은 Circle 이 지정된 북한 연계 주소에 대해 정의된 동결 태세를 공개적으로 약속하는 것입니다. Allaire 는 바로 이를 위해 CLARITY 법안의 세이프 하버 (safe harbor)를 원한다는 힌트를 주었습니다. 의회가 이를 제공한다면 Circle 은 민사 책임을 지지 않고 더 빠르게 행동할 수 있으며, Tether 와의 운영 격차는 좁혀질 것입니다.

결말 2: USDT 가 USDC 의 DeFi 점유율을 잠식한다. 프로토콜들이 더 빠른 동결 SLA 를 가진 발행사로 계속 이동한다면, Tether 의 약 60% 시장 점유율은 유지될 것이며 Circle 의 규제적 이점은 DeFi 결제가 아닌 전통 금융 (TradFi) 결제 레이어에서 정체될 것입니다. GENIUS 법안은 누가 은행에 서비스를 제공할 수 있는지에 대한 규칙이 될 뿐, 누가 블록 공간에서 승리할 것인지에 대한 규칙은 되지 못합니다.

결말 3: 은행 발행 스테이블코인이 둘 다 집어삼킨다. GENIUS 법안은 FDIC 보험에 가입된 은행이 달러 토큰을 발행할 수 있는 길을 명시적으로 열어주었습니다. JPMorgan, Bank of America 및 수십 개의 지역 은행들이 Circle 과 Tether 를 압도하는 예치 인프라를 가지고 시장에 진입할 수 있습니다. 그런 세상에서 Drift 의 USDC 와 USDT 사이의 선택은 고풍스럽게 보일 것입니다. 둘 다 민간 발행 스테이블코인일 뿐이며, 미래는 JPM-USD 나 BofA-USD 의 것이 될 것이기 때문입니다.

DeFi 가 맞이할 결말은 발행사들이 유동성 (Circle 의 홈 경기장), 신뢰 SLA (Tether 의 홈 경기장), 또는 재무제표의 신뢰성 (은행의 홈 경기장) 중 어디에서 경쟁하느냐에 달려 있습니다. Drift 는 프로토콜들이 이제 두 번째 축을 선택할 의향이 있음을 방금 증명했습니다. 향후 90일은 누군가 그 뒤를 따를지 말지를 알려줄 것입니다.

빌더를 위한 시사점

이 상황을 지켜보는 개발자와 프로토콜 팀에게는 세 가지 중요한 교훈이 있습니다 :

  1. 스테이블코인 선택은 이제 기본 설정이 아닌 아키텍처 결정 사항입니다. 발행사의 동결 정책(freeze posture), 복구 풀(recovery-pool) 지원 의지, 규제 노출 정도를 주요 설계 변수로 취급하십시오. 이를 위험 레지스터(risk register)에 기록해 두어야 합니다.
  2. 복구 인프라가 곧 해자(moat)입니다. 테더(Tether)가 1억 2,750만 달러 규모의 백스톱(backstop)을 지원하기로 한 결정은 솔라나 최대 무기한 선물(perp) DEX에서 결제 레이어 자리를 확보하는 결과로 이어졌습니다. 이러한 역량을 갖추지 못하거나 갖추려 하지 않는 발행사는 가격과 유동성만으로 경쟁하게 될 것이며, 가격과 유동성 경쟁은 결국 제로(0)로 수렴합니다.
  3. 고빈도 결제 워크로드는 RPC의 취약성을 드러냅니다. 72시간 만에 예치금의 12%를 복구하는 무기한 선물 DEX는 서명 확인(signature confirmation), 계정 잔액 조회, 인덱서 엔드포인트에 집중된 부하를 발생시킵니다. 일반적인 DEX 스왑을 원활히 처리하던 인프라도 에이전트 스타일의 트래픽 패턴 하에서는 균열이 생기기 시작합니다.

BlockEden.xyz는 무기한 선물 프로토콜과 복구 흐름이 요구하는 고빈도, 결정론적 결제 패턴을 위해 구축된 프로덕션급 솔라나 RPC 및 인덱서 인프라를 운영합니다. 다음 블랙 에이프릴(Black April) 상황에서 위기를 증폭시키는 대신 흡수할 수 있도록 설계된 인프라 위에서 빌드하려면 솔라나 API 서비스를 확인해 보시기 바랍니다.

출처

Share on Twitter