"보안" 태그로 연결된 70 개 게시물 개의 게시물이 있습니다.

모든 이더리움 지갑, 검증인 서명, 영지식 증명은 동일한 수학적 가설에 기반하고 있습니다. 바로 큰 수의 인수분해와 이산 로그 문제를 푸는 것이 어떤 컴퓨터에게도 사실상 불가능할 정도로 어렵다는 가정입니다. 양자 컴퓨터는 결국 이 가설을 무너뜨릴 것입니다. 그 시점이 오면, 가치 기준으로 전체 비트코인의 약 25%와 그에 상응하는 비중의 이더리움이 단 하루 만에 위험에 노출될 수 있습니다.

이더리움 재단은 그날이 오기만을 기다리고 있지 않습니다. 2026년 3월 25일, 재단은 수년간의 연구를 하나의 실행 가능한 로드맵으로 통합한 전용 양자 내성 보안 허브인 pq.ethereum.org를 런칭했습니다. 10개 이상의 클라이언트 팀이 이미 매주 상호 운용성 개발 네트워크(devnets)를 운영하고 있으며, 핵심 레이어 1 업그레이드의 목표 시점은 2029년입니다.

이것은 그 어떤 탈중앙화 네트워크도 시도한 적 없는 가장 야심 찬 암호학적 마이그레이션이며, 이미 진행 중입니다.

가상자산 역사상 가장 비싼 대가를 치른 코드 한 줄은 버그가 아니었습니다. 그것은 바로 피싱 링크였습니다.

2025년 2월, Safe{Wallet}의 한 개발자가 일상적인 메시지로 보이는 것을 클릭했습니다. 몇 시간 만에 북한 공작원들은 AWS 세션 토큰을 탈취하고, 다중 인증 (MFA)을 우회하여 Bybit에서 15억 달러를 빼냈습니다. 이는 크립토 역사상 단일 사건으로는 최대 규모의 절도였습니다. 스마트 컨트랙트 취약점은 이용되지 않았습니다. 온체인 로직도 실패하지 않았습니다. 코드는 괜찮았습니다. 사람이 문제였습니다.

TRM Labs의 2026년 크립토 범죄 보고서는 당시의 해킹 사건이 예고했던 바를 확인해 줍니다. 크립토의 주요 위협 벡터로서 스마트 컨트랙트 익스플로잇의 시대는 끝났습니다. 공격자들은 "스택의 위쪽"으로 이동하여, 새로운 코드 취약점을 찾는 대신 보안이 잘 갖춰진 프로토콜을 둘러싼 키, 지갑, 서명자 (signer), 클라우드 제어 평면 (cloud control planes)과 같은 운영 인프라를 침해하는 방식을 택하고 있습니다.

단 한 장의 서류도 보여주지 않고 연봉이 10만 달러 이상임을 증명하거나, 유효한 여권을 소지하고 있음을, 혹은 800점의 FICO 신용 점수를 보유하고 있음을 증명할 수 있다면 어떨까요? 이것이 바로 zkTLS가 약속하는 미래이며, 2026년 현재 zkTLS는 암호학적 이론을 넘어 실제 프로덕션 인프라로 빠르게 전환되고 있습니다.

영지식 전송 계층 보안 (zkTLS)은 우리가 방문하는 거의 모든 웹사이트를 보호하는 기존 암호화 프로토콜을 확장합니다. zkTLS는 단순히 전송 중인 데이터를 보호하는 데 그치지 않고, 기본 정보를 노출하지 않으면서도 특정 데이터가 검증된 출처에서 왔음을 확인하는 수학적 증명을 생성합니다. 그 결과, 폐쇄적인 Web2 데이터 금고와 결합 가능하고 허가가 필요 없는 Web3 세상 사이를 잇는 가교가 마련되었습니다.

단 하나의 권한 확인 누락. 17일간 감지되지 않은 공격. 한 번도 트랜잭션을 실행한 적 없는 지갑에서 Art Blocks, Doodles, Beeple 작품을 포함한 78개의 블루칩 NFT가 유출되었습니다. 2026년 3월 9일 발생한 Gondi 익스플로잇은 "편의 기능"이 어떻게 공격 표면이 될 수 있는지, 그리고 왜 NFT 대출 부문이 대체 가능한 토큰(Fungible-token) 기반의 DeFi와는 다른 보안 과제에 직면해 있는지를 보여주는 전형적인 사례입니다.

2026년 3월 12일, 단 한 번의 이더리움 트랜잭션이 5,040만 달러 상당의 USDT를 약 36,000달러 가치의 AAVE 토큰 327개로 바꾸어 놓았습니다. 이 손실은 해킹, 익스플로잇 또는 스마트 컨트랙트 버그로 인한 것이 아니었습니다. 관련 모든 프로토콜인 Aave, CoW Swap, SushiSwap은 설계된 대로 정확하게 작동했습니다. 사용자는 모바일 기기에서 99.9% 가격 영향(price impact) 경고를 확인하고, 체크박스를 클릭했으며, 30초도 채 되지 않아 약 5,000만 달러가 MEV 봇들에게 증발하는 것을 지켜보았습니다.

이 사건은 DeFi 역사상 가장 뼈아픈 UX 실패 사례로 기록되었으며, "설계대로 작동하는" 비허가형(permissionless) 시스템이 이 정도의 가치를 파괴할 수 있다면 이를 방지할 책임은 누구에게 있는가라는 불편한 질문을 던집니다.

8 wei. 이는 토큰의 약 0.000000000000000008 에 해당하는 양으로, 실질적인 달러 가치가 거의 없는 아주 미미한 수준입니다. 하지만 2025년 11월 3일, 한 공격자가 이러한 규모의 반올림 오차를 이용해 1억 2,800만 달러의 자산을 탈취했으며, 30분도 채 되지 않아 9개의 블록체인에서 Balancer 의 Composable Stable Pool 을 고갈시켰습니다.

Balancer V2 익스플로잇은 이제 역사상 단일 취약점으로 인한 최대 규모의 멀티 체인 DeFi 익스플로잇으로 기록되었습니다. 이 사건으로 Balancer 총 예치 자산 (TVL) 의 52% 가 하룻밤 사이에 증발했으며, 업계 최고 보안 기업들의 10회 이상의 감사를 통과했음에도 발생했습니다. 심지어 Berachain 은 자금을 회수하기 위해 긴급 하드포크를 실행해야만 했습니다. 취약점은 무엇이었을까요? 바로 잘못된 방향으로 반올림을 수행하는 단 한 줄의 코드였습니다.

1시간도 채 걸리지 않았습니다. 2026년 1월 31일, 한 공격자가 CrossCurve의 브릿지 인프라 내 단일 스마트 컨트랙트 함수에서 치명적인 검증 체크 누락을 발견했습니다. 그리고 누구도 반응하기 전에 Ethereum, Arbitrum 및 기타 네트워크에서 체계적으로 300만 달러를 탈취했습니다. 정교한 제로데이 공격도, 내부 키 유출도 없었습니다. 그저 조작된 메시지와 블록체인 상의 누구나 호출할 수 있는 함수 호출뿐이었습니다.

CrossCurve 사건은 크로스체인 브릿지가 탈중앙화 금융 (DeFi)에서 가장 위험한 공격 표면으로 남아 있다는 점을 상기시켜 줍니다. 또한, 다층 보안 아키텍처를 자랑하는 프로토콜이라 할지라도 단 하나의 컨트랙트에서 허점이 발견되면 무너질 수 있음을 보여줍니다.

토큰을 자율적으로 거래하고, DeFi 포지션을 리밸런싱하며, 자체 컴퓨팅 비용을 지불하는 AI 에이전트는 혁신적으로 들립니다. 하지만 프롬프트 인젝션(prompt-injection) 공격을 받아 사용자의 전 재산을 공격자에게 전송하게 된다면 이야기는 달라집니다. 구글 클라우드(Google Cloud)가 최근 발표한 MCP Web3 보안 프레임워크는 바로 이러한 악몽과도 같은 상황을 해결하며, 블록체인과 상호작용하는 모델 컨텍스트 프로토콜(Model Context Protocol, MCP) 에이전트를 보호하기 위한 엔터프라이즈급 청사진을 제시합니다.

다음은 이 프레임워크가 권장하는 내용과 그것이 중요한 이유, 그리고 Coinbase, Ledger, 그리고 새롭게 부상하는 x402 결제 표준과 같은 경쟁 방식들과 비교했을 때의 특징입니다.

보안 감사는 이미 몇 달 전에 정확한 공격 벡터를 지적했습니다. 팀은 이를 묵살했습니다. 일요일, 한 공격자가 $ 370만 달러를 탈취해 유유히 사라졌습니다.

BNB 체인에서 약 $14억 7,000만 달러의 총 예치 자산(TVL)을 보유한 지배적인 대출 플랫폼인 비너스 프로토콜(Venus Protocol)이 2026년 3월 15일 파괴적인 가격 조작 공격을 받았습니다. 공격자는 탈중앙화 거래소인 데나(Thena)의 네이티브 토큰인 THE를 표적으로 삼았습니다. 정교하게 짜여진 예치, 대출, 매수 루프를 통해 가격을$ 0.27에서 거의 $5까지 부풀렸습니다. 그 결과 BTC, CAKE, USDC, BNB 등$ 370만 달러 이상의 자산이 빠져나갔으며, 약 $ 215만 달러는 회수 불가능한 부실 채권으로 남게 되었습니다.

이 공격이 놀라운 점은 규모뿐만 아니라 그 뒤에 숨겨진 인내심, 그리고 취약점이 뻔히 드러나 있었다는 사실입니다.