"크로스체인" 태그로 연결된 29 개 게시물 개의 게시물이 있습니다.

2026년 4월 18일, 북한의 라자루스 그룹(Lazarus Group)이 2억 9,200만 달러 상당의 rsETH를 탈취했을 때, 거의 모든 이들은 익숙한 시나리오를 예상했습니다. Kelp DAO가 손실을 떠안고, Aave 예치자들이 부실 채권을 감당하며, 2022년 Jump Crypto가 Wormhole을 위해 했던 것처럼 단일 억만장자 후원자가 조용히 수표를 써주는 방식 말입니다. 하지만 그런 일은 일어나지 않았습니다. 대신, 평소에는 치열하게 경쟁하던 디파이(DeFi)의 가장 큰 7개 프로토콜이 약 10만 ETH를 "DeFi United"라는 단일 복구 기금에 모았고, 암호화폐가 자체적인 재앙을 처리하는 규칙을 조용히 새로 썼습니다.

수치는 거대하고, 그 이면의 정치는 더욱 방대하며, 이번 선례는 업계가 수년 동안 만들어낸 가장 중요한 성과일지도 모릅니다.

현재 200개 이상의 영지식 롤업(zero-knowledge rollups)이 프로덕션 환경에서 구동되고 있으며, 각각 고유한 검증기(verifier) 컨트랙트를 사용하고 있습니다. 여기에는 SP1 , 저기에는 Risc Zero , 한 체인에는 Plonky3 , 다른 체인에는 Halo2 가 있으며, 몇 주마다 Jolt 와 Powdr 가 새로 등장하고 있습니다. 둘 이상의 체인에서 상태를 읽으려는 모든 프라이버시 앱은 '통합 비용'이라는 세금을 지불해야 합니다. 즉, 모든 증명기(prover)를 통합하고, 모든 검증기를 감사하며, 회로(circuit)가 변경될 때마다 다시 배포해야 합니다. 이것이 바로 Web3 프라이버시 인프라에서 가장 큰 숨겨진 비용이 되어버린 'N × N 통합의 악몽'입니다.

2026년 4월 28일, ILITY 는 해결책이 또 다른 zkVM 이 아니라 그 모든 것 위의 레이어라는 승부수를 던지며 스텔스 모드에서 벗어났습니다. 1월 30일에 가동된 알파 메인넷과 함께 운영되는 ILITY 의 멀티체인 ZK 증명 통합 검증 레이어는 모든 체인이 프라이버시 보호 메시지 버스로 채택할 수 있는 "유니버설 크로스체인 프라이버시 인터페이스"를 표방합니다. Web3Caff Research 는 출시 당일 발행한 Financing Decode 에서 이번 런칭을 검증기 추상화(verifier abstraction)에 대한 세대적 배팅으로 규정했습니다. 이들의 논지는 도발적입니다. IBC 가 코스모스 존(Cosmos zone)의 상태를 추상화하고 EVM 동등성이 L2 실행을 추상화했듯이, 단일 증명 검증 API 가 그 아래의 모든 SNARK 시스템을 추상화할 수 있다는 것입니다.

아무도 말하고 싶어 하지 않는 파편화 문제​

Polygon Labs , Succinct , Risc Zero 및 여러 소규모 팀은 지난 3년 동안 더 빠르고, 더 작고, 더 범용적인 zkVM 을 출시하기 위해 경쟁해 왔습니다. 이 경쟁은 프로덕션 단계의 Plonky3 , 증명을 파편으로 분할하고 이를 하나의 유니버설 증명으로 집계하는 SP1 , 오픈 바운들리스(Boundless) 증명 시장으로 전환한 Risc Zero 등 놀라운 결과를 낳았습니다.

하지만 이 경쟁에는 거의 아무도 최적화하지 않는 부작용이 있습니다. 승자마다 각자의 검증기를 출시한다는 점입니다. SP1 으로 증명된 Optimism 롤업, Plonky3 로 증명된 Polygon CDK 체인, Halo2 로 증명된 Scroll 배포본에서 담보 증명을 수락하려는 프라이버시 보호 대출 프로토콜은 완전히 다른 세 가지 검증기 컨트랙트를 배포하고 유지 관리해야 합니다. 각 검증기는 가스 비용, 업그레이드 경로, 버그 노출 면이 다릅니다. 감사 예산은 치솟고, 크로스체인 TVL 은 프라이버시 앱이 출시된 체인에 갇히게 됩니다.

업계는 이를 문제로 인식하고 있습니다. 폴리곤의 비관적 증명(pessimistic proof)은 그 자체로 SP1 과 Plonky3 로 생성된 ZK 증명이며, 집계(aggregation)를 "멀티스택 미래의 통합"으로 명확하게 마케팅합니다. 하지만 AggLayer 의 통합은 폴리곤 CDK 스택을 선택한 체인에서만 작동합니다. Solana , Cosmos , 폴리곤 스택 외부의 Ethereum L2 , 그리고 Bitcoin L2 는 여전히 그 범위 밖에 있습니다. 파편화 문제는 하나의 폐쇄된 정원(walled garden) 안에서는 해결되지만, 정원의 경계에서 다시 재현됩니다.

ILITY 가 실제로 구축하는 것​

ILITY 의 접근 방식은 구조적으로 다릅니다. 증명기 속도에서 경쟁하는 대신, 소스 체인에 관계없이 증명을 검증하고 모든 소비 체인이 신뢰할 수 있는 인증(attestation)을 다시 내보내는 소버린 레이어 1(Layer-1) 블록체인을 구축합니다. 자산 소유권, 보유 이력, 트랜잭션 패턴, 온체인 행동 등 모든 것을 지갑 주소나 기본 데이터를 노출하지 않고 증명할 수 있습니다.

이 아키텍처적 도박은 세 가지 요소로 구성됩니다. 첫째, 통일된 증명 검증 API 입니다. 어떤 앱이든 기본 SNARK 시스템이 무엇인지 상관없이 하나의 엔드포인트에서 읽습니다. 둘째, 체인의 프라이버시 인식 검증 코어인 ILITY ZK Engine 입니다. 알파 메인넷은 1월부터 내부 크로스체인 데이터 검색 테스트를 통해 이를 강화해 왔습니다. 셋째, 검증기 추상화를 연구 결과물이 아닌 개발자 서비스로 노출하는 곧 출시될 프로덕트화 레이어인 ILITY Hub 입니다.

이 메커니즘은 IBC 가 각 존이 다른 모든 존의 컨센서스를 구현하지 않고도 코스모스 존끼리 대화할 수 있게 한 방식과 유사합니다. ILITY 는 증명에 대해서도 동일한 방식을 제안합니다. 체인은 서로 어떻게 증명하는지 알 필요가 없습니다. 통합 레이어가 내보내는 검증 결과만 신뢰하면 됩니다. 이 추상화가 유지된다면, ILITY 에서 한 번 작성된 프라이버시 보호 DeFi 앱은 Solana 프로그램, Ethereum L2 컨트랙트, Cosmos 존, Bitcoin L2 의 인증을 모두 소비할 수 있으며, 이들 중 어느 것도 서로에 대해 알 필요가 없습니다.

ILITY 가 인접 프로젝트들과 다른 점​

통합 검증 레이어는 이 문제에 대한 유일한 시도가 아닙니다. 이 분야는 세 가지 경쟁적인 접근 방식으로 구체화되었으며, ILITY 는 이들 모두를 포함한다고 주장합니다.

Brevis 는 L1 실시간 증명 기능을 갖춘 하이브리드 ZK 데이터 코프로세서와 범용 zkVM 을 결합한 가장 일반적인 ZK 코프로세서를 출시했습니다. Brevis 를 사용하면 스마트 컨트랙트가 과거 EVM 상태에 접근하여 그에 대한 사항을 증명할 수 있습니다. 하지만 Brevis 는 근본적으로 코프로세서입니다. 증명을 생성할 뿐, 검증기를 통합하지는 않습니다. 소비 체인은 여전히 Brevis 가 사용하는 증명 시스템에서 Brevis 증명을 검증해야 합니다.

Axiom 은 범위는 더 좁지만 심층적인 Ethereum 상태에 대한 검증 가능한 쿼리에 매우 빠릅니다. 특정 블록 높이에서의 정확한 스토리지 슬롯 값이나 트랜잭션 존재 여부를 증명할 수 있습니다. 트레이드오프는 명확합니다. 설계상 Ethereum 전용이며 단일 체인입니다. 프리미티브로는 유용하지만 멀티체인 인터페이스로는 쓸모가 없습니다.

Lagrange 는 다른 타협안을 선택했습니다. 도전받을 가능성이 낮은 상태에 대해 ZK 보장을 완화함으로써 크로스체인 계산 효율성을 높이는 ZK 플러스 옵티미스틱 하이브리드 방식입니다. Lagrange 는 체인 간에 증명을 수행하지만, 검증 시맨틱이 순수 ZK 보장과 같지 않아 기관들이 배포하기에는 한계가 있습니다.

ILITY 의 주장은 이 세 가지 모두 누락된 프리미티브에 대한 부분적인 솔루션이라는 것입니다. Brevis 는 검증하고, Axiom 은 쿼리하며, Lagrange 는 집계하지만, 어느 것도 어떤 체인이든 다른 체인의 어떤 증명이든 검증하기 위해 호출할 수 있는 단일 API 를 제공하지 않습니다. ILITY 는 누락된 프리미티브가 또 다른 증명기나 코프로세서가 아니라 검증 레이어 자체라고 믿고 있습니다.

가장 뚜렷한 대조는 Polygon AggLayer 와의 비교에서 나타납니다. AggLayer 의 비관적 증명 시스템은 기술적으로 통합 검증 레이어이지만, CDK 소버린 설정(Sovereign Config)으로 구성된 체인에서만 작동합니다. AggLayer v0.3 은 2026년 1분기까지 스택을 멀티스택 EVM 으로 확장했지만, Solana , Cosmos , Bitcoin L2 는 여전히 제외되어 있습니다. ILITY 의 설계 선택은 그 반대입니다. 검증 레이어를 먼저 구축하고, 어떤 체인이든 연결할 수 있게 하며, 깊이보다는 너비를 위해 최적화하는 것입니다.

2026년 4월경 형성되는 프라이버시 스택​

출시 타이밍은 우연이 아닙니다. 2026년 4월 말, ILITY와 결합하여 개별 프로젝트 이상의 더 큰 가치를 창출하는 두 가지 인프라 배팅이 등장했습니다.

Mind Network의 FHE 프라이버시 부스트 — OP 스택을 기반으로 하며 Chainlink CCIP와 통합 — 는 기밀 컴퓨팅(confidential computation)을 제공합니다. 완전 동형 암호(Fully Homomorphic Encryption)를 통해 컨트랙트는 입력 데이터를 복호화하지 않고도 암호화된 상태로 처리할 수 있으며, 이는 입력 데이터 자체가 민감한 기관용 DeFi(institutional DeFi)에서 매우 중요합니다. Mind Network의 2026년 2분기 보안 감사와 3분기 메인넷 출시 예정인 FHE 기반 에이전트 간 결제 솔루션은 기관용 로드맵을 갖춘 기밀 컴퓨팅 계층에 대한 최초의 신뢰할 만한 시도입니다.

ILITY는 검증을 제공합니다: 상태 자체를 드러내지 않고 크로스체인 상태에 대한 사실을 증명하는 기능입니다.

중기 자금 조달 라운드에서 점점 더 눈에 띄는 세 번째 축은 탈중앙화 증명 연산(decentralized proving compute) 입니다 — Risc Zero의 Boundless 및 Succinct의 prover network와 같은 개방형 증명 시장으로, GPU 운영자가 증명 생성 작업에 입찰하여 한계 비용을 제로에 가깝게 낮출 수 있게 합니다.

기밀 컴퓨팅(FHE), 통합 검증(ZK), 개방형 증명 연산이라는 이 세 가지 축이 연결되면, 기관 사용자가 전략, 포지션 또는 거래 상대방 데이터를 노출하지 않고 DeFi에 참여하는 데 실제로 필요한 인프라 스택의 모습을 갖추게 됩니다. 어느 한 축만으로는 충분하지 않습니다. ILITY의 주장은 검증 계층이 나머지 두 요소가 유용하게 쓰일 수 있도록 하는 연결 조직이라는 것입니다. 통합 검증이 없다면, 프라이빗 크로스체인 DeFi를 수행하는 모든 기관은 거래 상대방이 사용할 수 있는 모든 증명자(prover)에 대해 개별 검증자(verifier) 환경을 유지해야 하기 때문입니다.

검증자 추상화 베팅에 대한 정직한 검토​

검증자 추상화(Verifier abstraction)는 강력한 가설입니다. 하지만 역사적으로 구현하기 어려웠던 종류의 가설이기도 합니다. 세 가지 리스크를 짚어볼 필요가 있습니다.

네이티브 통합 문제. 통합 검증 계층은 체인들이 이를 채택할 때만 의미가 있습니다. ILITY의 알파 메인넷은 내부적으로 검증을 수행하고 결과를 노출하지만, 솔라나(Solana) 스마트 컨트랙트가 이러한 증명(attestation)을 실제로 사용하려면 솔라나 프로그램이 ILITY의 서명된 결과를 신뢰해야 합니다. 이 신뢰 가설은 라이트 클라이언트 브리지와 유사하며, 이는 ILITY가 ZK 증명 검증뿐만 아니라 "신뢰할 수 있는 메시지 버스"라는 더 넓은 영역에서 LayerZero, Wormhole, Chainlink CCIP와 경쟁하게 됨을 의미합니다. 검증자 추상화 이야기는 LayerZero의 이야기보다 깔끔하지만, 시장 진입 전략(Go-to-market)은 동일합니다.

성급한 추상화 리스크. 범용 ZK 증명 검증 계층으로 설계된 모듈형 L1인 zkVerify는 2024년부터 유사한 가설을 추구해 왔습니다. 아직 기관급의 폭발적인 성장(escape velocity)에는 도달하지 못했습니다. 리스크는 검증자 추상화가 기술적으로는 우아하지만 상업적으로는 시기상조일 수 있다는 점입니다: 어떤 체인도 이 추상화를 네이티브하게 통합하지 않는다면, 통합 계층에서의 모든 검증은 소비 체인에 직접 검증자를 배포하는 것에 비해 한 단계의 홉(hop)이 더 추가되는 셈입니다.

최적화 격차. 체인별 검증자는 해당 체인이 검증하는 특정 SNARK 시스템에 맞게 공격적으로 최적화될 수 있습니다. 통합 계층은 정의상 이러한 최적화 중 일부를 포기할 수밖에 없습니다. AggLayer가 Polygon CDK 체인에서 승리하는 이유 중 하나는 비관적 증명(pessimistic proof)이 SP1+Plonky3 및 체인 스택과 함께 공동 설계되었기 때문입니다. ILITY는 한 체인의 Halo2 증명과 다른 체인의 SP1 증명을 검증할 때 그러한 이점을 누리지 못합니다. 진정한 체인 불가지론적(chain-agnostic) 검증자의 성능 한계는 공동 설계된 검증자보다 객관적으로 낮습니다.

낙관적인 관점은 이러한 리스크 중 어느 것도 치명적이지 않다는 것입니다 — 이는 통합 검증 계층이 순수한 검증 가스 비용보다는 개발자 편의성(developer ergonomics)에서 승리해야 함을 의미할 뿐입니다. 새로운 체인을 ILITY에 온보딩하는 데 커스텀 검증자 작업으로 6개월이 걸리는 대신 일주일이 걸린다면, 하이퍼 최적화된 DeFi 프로토콜을 제외한 모든 이들에게 시장 출시 시간(time-to-market)의 차이가 가스 비용의 차이보다 더 중요하게 작용할 것입니다. 이는 초기 멀티체인 브리지들이 선택하여 승리했던 것과 동일한 절충안입니다.

향후 주목해야 할 지표​

통합 검증 가설이 작동하는지 알려주는 세 가지 신호가 있습니다.

네이티브 통합. 솔라나 그랜트, 이더리움 L2 파트너십, 코스모스 존(Cosmos zone) 등 주요 체인이 ILITY의 검증 결과를 온체인 로직에 네이티브하게 연결하는가? 2026년에 이러한 통합이 최소 하나라도 이루어지지 않는다면, 이 추상화는 고립된 섬으로 남을 것입니다.

프라이버시 앱 배포. 진정한 검증은 이론에 있지 않습니다. 이는 운영 환경에서 실제로 결제하는 사용자와 함께, 세 개 이상의 서로 다른 증명자 생태계로부터 담보 증명을 읽기 위해 ILITY를 진정으로 사용하는 프라이버시 보존 대출 프로토콜이나 기밀 결제 계층의 등장입니다.

FHE 및 증명 시장과의 스택 구성. 만약 "FHE + ZK + 증명 시장" 스택이 JP모건 스타일의 허가형 풀(permissioned pools), 규제된 토큰화 펀드 결제와 같은 기관용 DeFi 파일럿에서 나타나기 시작한다면, 그것이 바로 ILITY가 목표로 하는 생태계 효과입니다. 그렇지 않다면, 통합 검증 계층은 이를 필요로 하는 애플리케이션을 기다리는 영리한 인프라 조각으로 남을 것입니다.

정직한 요약은 ILITY의 베팅이 거대하며, 크립토 업계에서 "타인의 프리미티브를 추상화하여 승리"한 선례는 엇갈린다는 점입니다. IBC는 승리했습니다. EVM 호환성(EVM-equivalence)도 승리했습니다. 하지만 기반 시스템이 준비되기 전에 출시되어 주도권을 회복하지 못한 추상화 사례들도 있습니다. 4월 28일은 이 베팅이 공개적인 시험대에 오르는 날입니다.

BlockEden.xyz는 Sui, Aptos, Ethereum, Solana 및 기타 주요 체인에 걸쳐 엔터프라이즈급 RPC 및 인덱싱 인프라를 운영합니다 — 이는 프라이버시 보존 애플리케이션이 검증된 크로스체인 상태를 소비하는 데 필요한 것과 동일한 멀티체인 커버리지입니다. API 마켓플레이스 탐색을 통해 멀티체인 시대를 위해 설계된 인프라 위에서 빌드하세요.

출처​

• ILITY - ZK 교차 체인 데이터 검증을 위한 블록체인
• ILITY 네트워크 알파 메인넷 출시, ILITY 허브 출시를 위한 기반 마련
• Polygon Plonky3로 구축된 Succinct의 SP1, AggLayer를 위한 고성능 교차 체인 상호운용성 지원
• AggLayer 메인넷에 비관적 증명(Pessimistic Proofs) 활성화
• 비관적 증명(Pessimistic Proof) - AggLayer 문서
• 2026년 최고의 ZK 코프로세서 및 검증 가능한 컴퓨팅 레이어 - Space and Time
• Brevis 리서치 보고서 - PANews
• zkVerify: 대규모 ZK 증명 검증 최적화 - Delphi Digital
• MindNetwork - 완전 암호화된 Web3를 위한 FHE 개척
• Mind Network, Chainlink CCIP를 기반으로 구축된 최초의 기관용 FHE 인터페이스 출시
• zkVM 전쟁 - Symbolic Capital
• zkVM에서 오픈 증명 시장까지: RISC Zero 및 Boundless 분석 - PANews

2026년 4월의 첫 18일 동안, 공격자들은 12개 이상의 DeFi 프로토콜에서 $6억 600만 달러 이상을 탈취했습니다. 이는 3주도 채 되지 않는 기간 동안 2026년 1분기 전체 도난액의 3.7 배에 달하는 수치입니다. 2025년 2월$ 15억 달러 규모의 Bybit 해킹 이후 암호화폐 도난이 가장 심각했던 달이었으며, 특히 DeFi 분야에서는 2022년 브리지 익스플로잇 시대 이후 가장 큰 피해를 입은 시기였습니다.

하지만 2022년과는 달리, 이번 사건 중 스마트 컨트랙트 버그로 인해 발생한 것은 거의 없었습니다.

Kelp DAO 브리지 탈취 ($2억 9,200만 달러), Drift Protocol의 오라클 및 키 침해 ($ 2억 8,500만 달러), 그리고 3월 말 Resolv Labs의 AWS 탈취 ($ 2,500만 달러)는 조용하지만 더 곤혹스러운 공통점을 공유합니다. 이 사건들은 모두 프로토콜 팀이 자체적인 신뢰 가정 (기본 설정, 사전 서명된 거버넌스 마이그레이션, 단일 클라우드 키 등)을 변경함으로써 가능해졌으며, 이는 어떤 스마트 컨트랙트 감사자도 경고할 이유가 없는 사항들이었습니다. 2026년 4월은 Solidity에 대한 이야기가 아닙니다. 이는 코드, 인프라, 그리고 거버넌스 사이의 운영상의 틈새 (operational seams)에 대한 이야기이며, '업그레이드'가 새로운 공격 표면 (attack surface)이 되었을 때 어떤 일이 벌어지는지에 대한 이야기입니다.

1분기보다 심각했던 18일간의 기록​

4월이 얼마나 이례적이었는지 이해하려면 수치를 분석해 볼 필요가 있습니다.

CertiK은 2026년 1분기 총 손실액을 145건의 사건에 걸쳐 약 $5억 100만 달러로 집계했습니다. 이 역시 당시 11개월 만에 최악의 달이었던 1월의$ 3억 7,000만 달러 규모 피싱 파도에 의해 부풀려진 수치였습니다. 2026년 2월은 약 $2,650만 달러로 수그러들었습니다. 3월은 20건의 개별 사건을 통해$ 5,200만 달러로 다시 상승했으며, 이로 인해 PeckShield는 소규모 DeFi 플랫폼 전반에 걸쳐 반복적인 공격 패턴이 나타남에 따라 '그림자 전염 (shadow contagion)'을 경고했습니다.

그러다 2026년 4월 1일 — 만우절 — 당시 올해 최대 규모의 해킹이었던 Drift 익스플로잇으로 문을 열었습니다. 18일 후, Kelp DAO 탈취 사건이 이를 넘어섰습니다. 이 두 사건만 합쳐도 $5억 7,700만 달러를 초과합니다. 여기에 Resolv 여파, 진행 중인 인프라 침해, 그리고 PeckShield와 SlowMist 추적기에 누적된 12건의 소규모 DeFi 침해 사례를 더하면, 보름 남짓한 기간 동안$ 6억 600만 달러 이상의 손실액에 도달하게 됩니다.

참고로, Chainalysis는 2025년 전체 암호화폐 도난액을 총 $ 34억 달러로 보고했으며, 그 대부분은 Bybit 침해 사고에 집중되어 있었습니다. 2026년 4월의 속도가 유지된다면 연말이 되기 전에 그 기준점을 쉽게 넘어설 것입니다. 위협은 양적으로만 성장한 것이 아니라, 집중도와 공격자의 정교함 측면에서도 성장했습니다.

세 가지 해킹, 세 가지의 본질적으로 다른 실패 모드​

4월의 해킹 공세가 단지 암울한 것을 넘어 분석적으로 흥미로운 이유는, 세 가지 주요 사건이 세 가지 뚜렷한 공격 유형으로 명확하게 분류되기 때문입니다. 각 공격은 스택의 서로 다른 계층을 겨냥하며, 이는 전통적인 스마트 컨트랙트 감사자가 포착하도록 설계되지 않은 유형의 실패들입니다.

유형 1: 새로운 단일 장애점으로서의 브리지 구성 (Kelp DAO, $ 2억 9,200만 달러)​

4월 18일, 공격자는 Kelp DAO의 LayerZero 기반 브리지에서 약 $ 2억 9,200만 달러에 해당하는 116,500 rsETH를 탈취했습니다. CoinDesk와 LayerZero의 포렌식 팀이 재구성한 바에 따르면, 이 기법은 Solidity 버그를 악용한 것이 아니라 구성 (configuration) 선택을 악용했습니다.

Kelp의 브리지는 단일 검증인 (1-of-1 DVN) 설정으로 운영되었습니다. 공격자들은 해당 검증인을 지원하는 두 개의 RPC 노드를 침해하고, 조직적인 DDoS 공격을 사용하여 검증인이 페일오버 (장애 조치) 모드로 전환되도록 강제한 다음, 침해된 노드를 사용하여 허위 크로스체인 메시지가 도착했음을 인증했습니다. 브리지는 신호에 맞춰 rsETH를 방출했습니다. LayerZero는 이번 작전의 배후로 북한의 라자루스 그룹 (Lazarus Group)을 지목했습니다.

그 뒤를 이은 공개적인 책임 공방은 운영 계층이 얼마나 취약해졌는지를 잘 보여줍니다. LayerZero는 Kelp가 멀티 검증인 구성을 사용하도록 경고받았다고 주장했습니다. Kelp는 1-of-1 DVN 모델이 새로운 OFT 통합을 위한 LayerZero 자체 배포 문서의 기본 설정이었다고 반박했습니다. 두 입장 모두 기술적으로는 사실입니다. 더 중요한 점은 CertiK, OpenZeppelin, Trail of Bits와 같은 어떤 감사 법인도 "메시징 계층 DVN 구성이 브리징하려는 자산의 가치에 적합한가?"에 대한 검토를 상품화하여 제공하지 않는다는 것입니다. 이러한 논의는 결과물이 아닌 두 팀 간의 Slack 채널에서 이루어집니다.

유형 2: 잠재적 백도어로서의 사전 서명된 거버넌스 권한 부여 (Drift, $ 2억 8,500만 달러)​

4월 1일, Solana 최대 규모의 퍼펫추얼 DEX인 Drift Protocol에서 약 $ 2억 8,500만 달러가 12분 만에 탈취되었습니다. 이 공격은 세 가지 벡터를 연결했습니다:

1. 가짜 오라클 타겟: 공격자는 약 7억 5,000만 개의 가짜 "CarbonVote Token" (CVT)을 발행하고, 약 $500 달러 규모의 소규모 Raydium 풀을 생성한 뒤,$ 1 달러 근처에서 자전 거래 (wash-trade)를 하여 가격 이력을 조작했습니다.
2. 오라클 데이터 수집: 시간이 지나면서 조작된 가격이 오라클 피드에 수집되었고, CVT가 합법적인 견적 자산인 것처럼 보이게 만들었습니다.
3. 특권 접근: 가장 치명적인 점은, 공격자가 이전에 Drift의 멀티시그 서명자들을 사회 공학적으로 속여 숨겨진 권한 부여에 사전 서명하게 했으며, 타임락 (timelock)이 없는 보안 위원회 (Security Council) 마이그레이션으로 인해 프로토콜의 마지막 지연 방어선이 제거되었다는 것입니다.

조작된 오라클을 통해 부풀려진 담보 포지션이 승인되자, 공격자는 온체인 모니터링이 작동하기 전에 USDC, JLP 및 기타 예비 자산에 대해 31회의 신속한 출금을 실행했습니다.

강조해야 할 두 가지 세부 사항이 있습니다. 첫째, Elliptic과 TRM Labs 모두 Drift 사건을 라자루스의 소행으로 보고 있으며, 이로써 18일 만에 두 번째 국가 급 DeFi 침해가 발생했습니다. 둘째, 프로토콜이 실패한 것이 아니라 거버넌스 배관이 실패했다는 점입니다. 스마트 컨트랙트는 구성된 대로 정확하게 작동했습니다. 취약점은 사회 공학적 기법과 타임락을 제거한 거버넌스 업그레이드에 있었습니다.

Solana 재단의 대응은 시사하는 바가 큽니다. 재단은 며칠 만에 보안 체계 전면 개편을 발표하며, 이번 사건을 Solana 프로토콜의 버그가 아닌 프로토콜과 생태계 간의 조정 문제로 명시적으로 규정했습니다. 이러한 프레이밍은 정확합니다. 이는 또한 보안 경계가 이동했음을 인정하는 것이기도 합니다.

사례 3: 5억 달러 규모의 스테이블코인을 뒷받침하는 단일 클라우드 키 (Resolv, 2,500만 달러)​

3월 22일에 발생한 Resolv Labs 사고는 금액 면에서는 세 건 중 가장 작지만, 구조적으로는 가장 시사하는 바가 큽니다. Resolv Labs의 AWS Key Management Service (KMS) 환경에 접근 권한을 얻은 공격자는 권한이 부여된 SERVICE_ROLE 서명 키를 사용하여 약 10만 ~ 20만 달러의 실제 USDC 예치금으로부터 담보가 없는 USR 스테이블코인 8,000만 개를 민팅(발행)했습니다. 총 현금화 소요 시간: 17분.

취약점은 Resolv의 스마트 컨트랙트에 있었던 것이 아닙니다 — 컨트랙트는 감사를 통과했습니다. 문제는 권한이 있는 민팅 역할이 멀티시그가 아닌 단일 외부 소유 계정 (EOA)이었으며, 그 키가 단일 AWS 계정 뒤에 위치했다는 점이었습니다. Chainalysis가 언급했듯이, "5억 달러의 TVL을 보유한 프로토콜이 무제한 민팅을 제어하는 단일 프라이빗 키를 가지고 있었던 것"입니다. 최초의 침입 경로가 피싱이었는지, 잘못 설정된 IAM 정책이었는지, 유출된 개발자 자격 증명이었는지, 아니면 공급망 공격이었는지는 여전히 밝혀지지 않았으며 — 그 모호함 자체가 핵심입니다. 프로토콜의 공격 표면은 바로 DevOps 경계였습니다.

공통된 맥락: 레드팀 검토 없는 업그레이드​

브릿지, 오라클, 클라우드 관리 서명 키는 서로 매우 다른 영역처럼 느껴집니다. 하지만 4월에 발생한 각 사고는 동일한 운영 패턴으로 거슬러 올라갑니다. 즉, 팀이 구성, 거버넌스 프로세스 또는 인프라 선택에 대해 업그레이드를 수행하면서 프로토콜의 신뢰 가정을 변경했으나, 새로운 가정을 포착할 수 있는 검토 프로세스가 구조화되어 있지 않았다는 점입니다.

Kelp는 LayerZero가 문서화는 했지만 3억 달러의 유동성을 대상으로 스트레스 테스트를 거치지 않은 기본 DVN 설정으로 업그레이드했습니다. Drift는 타임락 (timelocks)을 제거하기 위해 보안 위원회 거버넌스를 업그레이드했으며, 이로 인해 사회 공학적 기법으로 승인된 권한을 드러낼 수 있었던 지연 시간을 없애 버렸습니다. Resolv는 일반적인 클라우드 DevOps의 일부로 단일 키에 권한이 부여된 민팅 역할을 운영했습니다.

이것이 바로 OWASP가 2026 스마트 컨트랙트 10대 취약점 (SC10)에 "프록시 및 업그레이드 가능성 취약점"을 완전히 새로운 항목으로 추가한 이유입니다. 프레임워크는 마침내 공격자들이 이미 이동한 지점을 따라잡고 있습니다. 하지만 OWASP 규칙은 스스로 실행되지 않습니다. 대부분의 프로토콜이 여전히 "우리는 감사를 받았다"라는 지배적인 보안 내러티브에 머물러 예산을 책정하지 않는 인간의 검토 단계가 필요합니다.

그 내러티브는 이제 명백히 불충분함이 증명되었습니다. 2026년의 가장 큰 세 가지 사고 중 일부는 스마트 컨트랙트 감사를 통과했습니다. 침해 사고는 다른 곳에서 발생했습니다.

130억 달러의 자본 유출과 모듈형 신뢰의 실제 비용​

경제적 피해는 도난당한 자금을 훨씬 넘어 파급됩니다. Kelp 자금 유출 후 48시간 이내에 Aave의 TVL은 약 84.5억 달러 하락했으며, 광범위한 DeFi 섹터에서는 132억 달러 이상이 증발했습니다. AAVE 토큰은 16 ~ 20% 하락했습니다. SparkLend, Fluid, Morpho는 rsETH 관련 시장을 동결했습니다. 이러한 자금 이동의 혜택을 가장 많이 본 것으로 보이는 SparkLend는 사용자들이 더 단순한 담보 구성을 가진 곳을 찾으면서 약 6.68억 달러의 순 신규 TVL을 확보했습니다.

이러한 전염 효과의 이면에 있는 메커니즘을 명확히 짚어볼 필요가 있습니다. Kelp의 브릿지를 비운 후, 공격자는 훔친 rsETH를 Aave V3에 담보로 예치하고 이를 기반으로 대출을 실행했습니다. 그 결과 단일 rsETH / 래핑된 이더 (wrapped-ether) 쌍에 약 1.96억 달러의 불량 부채가 집중되었습니다. rsETH를 담보로 수용하는 어떤 대출 플랫폼도 모듈형 DeFi의 결합 방식 때문에 자신들의 담보 안전 장치가 1대 1 실패 모드 (1-of-1 failure mode)를 가진 단일 검증자 LayerZero 브릿지에 의존하고 있다는 사실을 알 수 없었습니다. 브릿지가 무너지자, 모든 플랫폼이 동시에 같은 구멍에 노출되었습니다.

이것이 DeFi 결합성의 핵심에 있는 보이지 않는 결합 문제입니다. 각 프로토콜은 자신의 컨트랙트만 감사할 뿐, 자신이 담보로 수용하는 토큰을 발행하는 프로토콜의 운영상 가정을 감사하는 프로토콜은 거의 없습니다. 2026년 4월의 연쇄 반응은 현재 DeFi 통합을 고려 중인 모든 기관 데스크의 리스크 담당자들에게 그 간극을 명확히 인지시켰습니다.

향후 전망: 감사에서 지속적인 운영 검토로​

4월의 사고 급증을 건설적으로 해석한다면, 이는 DeFi 보안 투자의 다음 단계가 피할 수 없음을 시사합니다. 세 가지 변화가 이미 가시화되고 있습니다.

1. 브릿지 설정 공개의 필수화. 유동성 리스테이킹 및 크로스 체인 프로토콜이 오늘날 스마트 컨트랙트 소스 코드를 공개하는 것과 동일하게 명시적인 DVN 설정, 폴백 (fallback) 규칙, 검증자 임계값을 공개하고 업데이트할 것으로 기대됩니다. 일급 공개 자산으로서의 설정 관리는 이미 늦었습니다.

2. 타임락의 거버넌스 기본값 의무화. 업계 분석에 따르면 거버넌스 마이그레이션을 위한 실질적인 최소 지연 시간은 48시간으로 유지되어야 합니다. 이는 모니터링 시스템이 이상 징후를 감지하고 사용자가 자산을 출금하기에 충분한 시간입니다. Drift 해킹 사례로 인해 3분기까지 타임락 없는 마이그레이션은 전문적으로 방어하기 어려워질 것입니다.

3. 공식적인 다자간 연산 (MPC) 또는 HSM 제어하의 권한 키 보관. Resolv의 단일 EOA 민팅 역할은 이제 업계의 경고 사례가 되었습니다. 민팅 권한을 보유한 프로토콜은 LP와 기관 통합 파트너로부터 임계치 서명 체계 또는 하드웨어 격리 키 보관을 기본적으로 요구받게 될 것입니다.

더 깊은 구조적 변화는 일회성 결과물로서의 "감사"가 지속적인 운영 검토로 대체되고 있다는 점입니다. 이는 연간 감사 주기보다 빠르게 진화하는 설정, 거버넌스 변경 및 인프라 의존성에 대한 지속적인 평가를 의미합니다. 이를 가장 빠르게 내재화하는 프로토콜이 현재 불량 부채가 해결되기를 기다리며 관망하고 있는 기관 자본을 흡수하게 될 것입니다.

신뢰의 경계가 이동했습니다​

2026년 4월은 새로운 유형의 익스플로잇이 등장했다기보다, 기존의 방어 체계가 잘못된 경계를 향하고 있었음을 확인시켜 준 시기였습니다. 스마트 컨트랙트 감사는 여전히 필요하지만, 그것만으로는 전혀 충분하지 않습니다. DeFi의 신뢰 영역은 브릿지 설정, 거버넌스 구조, 및 클라우드 관리 키 등으로 외부로 확장되었으며, 국가 지원 해커 수준의 인내심과 자원을 갖춘 공격자들이 이제 이 경계를 체계적으로 공략하고 있습니다.

차세대 기관 통합을 이끌어낼 프로토콜은 한때 Solidity 코드에 쏟았던 것과 동일한 엄격함을 운영 태세에도 적용하는 프로토콜이 될 것입니다. 여전히 1년 된 감사 PDF 파일을 보안의 근거로 내세우는 팀들은 점점 더 다음 달 뉴스의 헤드라인을 장식할 팀이 되어가고 있습니다.

BlockEden.xyz는 종속성(dependencies)이 기술 스택에서 가장 지루하고 안정적인 부분이 되어야 하는 빌더들을 위해 엔터프라이즈급 RPC 및 인덱싱 인프라를 제공합니다. 2026년이 요구하는 운영상의 엄격함에 맞춰 설계된 기반 위에서 개발을 시작하려면 API 마켓플레이스를 살펴보세요.

10년이 넘는 시간 동안 XRP는 DeFi 댄스 파티의 어색한 방관자였습니다. 2026년 4월 기준 시가총액 약 910억 달러로 네 번째로 큰 이 암호화폐는 이더리움, 솔라나, 그리고 그 형제들을 금융 실험실로 변화시킨 스마트 계약 경제에서 거의 완전히 소외되어 있었습니다. 2026년 4월 17일, 이러한 상황이 의미 있는 방식으로 변하기 시작했습니다.

홍콩 규제를 받는 디지털 자산 수탁 기관인 헥스 트러스트(Hex Trust)와 크로스체인 프로토콜 레이어제로(LayerZero)가 **솔라나에서 래핑된 XRP(wXRP)**를 출시하며, XRP 보유자들에게 주피터(Jupiter), 팬텀(Phantom), 메테오라(Meteora), 타이탄 익스체인지(Titan Exchange), 바이리얼(Byreal)의 문을 즉시 열어주었습니다. 이번 출시는 1억 달러 이상의 목표 TVL과 함께 시작되었으며, 24시간 만에 XRP 현물 가격은 5.15% 상승한 1.50달러를 기록했습니다.

크로스 체인 브릿지는 다른 어떤 Web3 인프라 카테고리보다 더 많은 사용자 자금을 탈취당했습니다. 그 기록은 공포 소설과도 같습니다. Ronin Bridge는 2022년에 6억 2,400만 달러를 탈취당했고, 2025년 5월에도 거의 동일한 공격 벡터를 통해 약 6억 2,500만 달러를 다시 잃었습니다. Wormhole은 3억 2,600만 달러를 잃었습니다. Nomad는 초기화 프로세스의 버그로 인해 1억 9,000만 달러를 유출당했습니다. 2024년 7월부터 2025년 11월 사이에만 크로스 체인 브릿지들은 익스플로잇으로 3억 2,000만 달러를 추가로 잃었습니다.

업계의 대응은 패치, 감사, 그리고 기도였습니다. 하지만 Ika는 다른 가설에 베팅하고 있습니다. 바로 브릿지를 아예 없애버리는 것입니다.

DefiLlama의 최신 해킹 데이터베이스에 따르면, DeFi 프로토콜은 2026년 1분기에 34건의 익스플로잇을 통해 총 1억 6,900만 달러를 잃었습니다. 이 수치는 2025년 1분기의 15억 8,000만 달러라는 엄청난 금액에 비해 전년 대비 89% 감소한 수치이지만, 이러한 표면적인 개선 뒤에는 더 우려스러운 이야기가 숨어 있습니다. 이번 분기에 가장 많은 자금을 훔친 공격자들은 스마트 컨트랙트 코드를 단 한 줄도 건드리지 않았기 때문입니다.

4월 6일, Sei 네트워크는 그 어떤 주요 레이어 1도 시도하지 않았던 스위치를 올릴 예정입니다. 이 체인은 CosmWasm 스마트 컨트랙트, IBC 상호운용성, 네이티브 오라클, bech32 주소 등 Cosmos 스택 전체를 비활성화하고, 완전한 EVM 체인으로 거듭나게 됩니다. 코인베이스는 이미 4월 6일~8일 마이그레이션 기간 동안 SEI 입출금을 중단한다고 발표했습니다. 네이티브 USDC로 전환하지 않은 USDC.n 보유자는 약 140만 달러 상당의 자산에 대한 접근 권한을 잃을 위험이 있습니다.

이것은 사소한 업그레이드가 아닙니다. 이것은 아키텍처적 절단이며, 2026년 블록체인 업계에서 내린 가장 중대한 인프라 결정이 될 수 있습니다.

도지코인(Dogecoin) 홀더들은 유니스왑(Uniswap)에 유동성을 공급할 수 없었습니다. XRP 트레이더들은 이더리움의 $ 800억 규모 DeFi 생태계에서 소외되어 왔습니다. 수익을 원하는 지캐시(Zcash) 사용자들은 자신의 프라이버시 코인을 중앙화 거래소에 맡기고 신뢰해야만 했습니다. 그 장벽이 방금 무너졌습니다. 그리고 이를 무너뜨린 도구는 우리가 크로스 체인 금융에 대해 생각하는 방식을 완전히 재편할 수 있습니다.

유니스왑 랩스(Uniswap Labs)의 유니체인(Unichain)은 이미 유니스왑 v4 거래량의 약 50 %를 처리하고 있는 이더리움 레이어 2로, 이제 Universal Protocol을 통해 도지코인, XRP, 지캐시를 지원합니다. 이는 비 EVM 자산을 1:1로 담보하는 ERC-20 표현으로 생성하는 소각 및 발행(burn-and-mint) 브릿징 표준입니다. 사상 처음으로 이더리움 이외의 체인에 있는 $ 900억 이상의 가치를 지닌 자산들이 기존의 래핑된 토큰이나 수탁 중개인에 의존하지 않고도 이더리움 DeFi에 네이티브하게 참여할 수 있게 되었습니다.

만약 당신의 AI 어시스턴트가 단순히 암호화폐 시장을 분석하는 것뿐만 아니라, 브릿지 인터페이스를 전혀 건드리지 않고도 몇 초 만에 이더리움에서 솔라나로 토큰을 이동시키는 등 귀하를 대신해 크로스체인 스왑을 실행할 수 있다면 어떨까요? 그 미래는 deBridge가 크로스체인 DeFi 실행을 위해 특별히 제작된 최초의 오픈 소스 Model Context Protocol (MCP) 서버를 출시한 2026년 2월에 현실이 되었습니다.

deBridge MCP 서버는 Claude 및 Cursor와 같은 AI 코딩 어시스턴트를 수동적인 조언자에서 능동적인 크로스체인 트레이더로 변화시킵니다. 이는 거대 언어 모델(LLM)을 실시간 블록체인 유동성에 연결하는 미들웨어 계층을 구축하기 위한 Coinbase의 Agentic Wallets, OKX의 OnchainOS, Bybit의 AI Skills와 같은 광범위한 경쟁의 일환입니다. 하지만 deBridge의 접근 방식은 다릅니다. 사용자를 단일 거래소의 생태계에 가두는 대신, 유동성 잠금(locked liquidity)이 전혀 없고 사용자가 완전한 자산 보관 권한을 갖는 분산형 솔버(solver) 네트워크를 통해 26개 이상의 블록체인에서 거래를 라우팅합니다.

이것은 추측에 근거한 로드맵이 아닙니다. 이미 GitHub에서 사용할 수 있고 개발자 워크플로우에 통합된 실제 프로덕션 인프라입니다. 그리고 이는 인간과 기계가 탈중앙화 금융(DeFi)과 상호 작용하는 방식의 근본적인 변화를 예고합니다.