"보안" 태그로 연결된 58 개 게시물 개의 게시물이 있습니다.

2025년 12월, Anthropic의 연구원들은 AI 에이전트에게 실제로 취약점이 노출되었던 405개의 스마트 컨트랙트를 분석하도록 했습니다. 해당 에이전트는 그 중 51%인 207개에 대해 작동 가능한 익스플로잇(취약점 공격)을 생성했으며, 시뮬레이션된 환경에서 5억 5,000만 달러의 자금을 탈취했습니다. 익스플로잇 성공 1건당 비용은 얼마였을까요? 단돈 1.22달러였습니다.

이 단 하나의 데이터 포인트는 2026년 탈중앙화 금융(DeFi)이 직면한 실존적 위기를 여실히 보여줍니다. 2025년 크립토 해킹으로 소실된 34억 달러는 노력이 부족해서 발생한 결과가 아닙니다. 공격받은 프로토콜의 대부분은 감사를 받았으며, 일부는 여러 차례 감사를 거쳤습니다. 그것은 패러다임의 실패였습니다. 이제 a16z Crypto는 급진적인 대안을 제안합니다. "코드이즈로(Code is Law, 코드가 곧 법이다)"를 버리고, 수학적으로 증명된 안전 속성과 실시간 런타임 가드레일을 통해 대부분의 익스플로잇을 구조적으로 불가능하게 만드는 "스펙이즈로(Spec is Law, 명세가 곧 법이다)"를 수용하라는 것입니다.

ARK 인베스트(ARK Invest)와 언체인드(Unchained)가 공동으로 발표한 백서는 이전에 누구도 이 정도 규모로 해내지 못한 일을 해냈습니다. 바로 비트코인이 양자 컴퓨팅 공격에 노출된 정도를 정확한 수치로 제시한 것입니다. 그 답은 전체 공급량의 34.6%, 현재 가격으로 약 2,400억 달러에 달하며, 이는 경각심을 주는 동시에 안도감을 줍니다. 이전에 막연한 가설로 치부되던 위협을 정량화했다는 점에서는 경고가 되지만, 나머지 65.4%의 BTC는 양자 컴퓨터가 해독할 수 없는 암호화 해싱 뒤에 안전하게 보관되어 있으며 업계가 준비할 시간이 약 10년 정도 남았음을 보여주기 때문입니다.

2025년 12월 27일, 공격자가 Flow의 실행 레이어 취약점을 악용하여 874억 개의 위조 토큰을 발행했고, 검증인들이 제동을 걸기 전에 크로스체인 브리지를 통해 390만 달러를 탈취했습니다. 그 후에 일어난 일은 단순한 기술적 포스트모템이 아니었습니다. 이는 블록체인 역사상 가장 많은 것을 시사하는 거버넌스 위기 중 하나가 되었으며, 2016년 이더리움의 DAO 포크 이후 업계가 피해왔던 질문에 직면하게 만들었습니다. "블록체인이 고장 났을 때, 누가 역사를 새로 쓸 권한을 갖는가?"

OpenAI 엔지니어가 구축한 AI 에이전트가 310달러 상당의 SOL을 요청한 X의 낯선 이에게 실수로 45만 달러 상당의 토큰을 전송했습니다. 해킹도, 익스플로잇도 아니었습니다. 단순히 세션 초기화, 가드레일 부재, 그리고 되돌릴 수 없는 블록체인 거래였을 뿐입니다. 2026년 2월에 발생한 Lobstar Wilde 사건은 경종을 울렸습니다. 자율 에이전트가 실제 자금을 다루려면 업계에 근본적으로 다른 보안 모델이 필요하다는 사실입니다.

2026년 3월 13일, MoonPay는 이에 대한 해답을 제시했습니다. 이제 MoonPay의 CLI 지갑은 네이티브 Ledger 하드웨어 서명 지원 기능을 탑재하여 출시됩니다. 이를 통해 MoonPay 에이전트는 실행 전 모든 온체인 트랜잭션이 반드시 물리적 장치를 거쳐야 하는 최초의 AI 에이전트 플랫폼이 되었습니다. 개인 키는 에이전트 런타임에 노출되지 않습니다. 에이전트가 제안하고, 사람이 결정합니다.

암호화폐 시장에서 도난당한 모든 달러는 이를 추적할 수 있는 인력에 대한 수요를 창출합니다. 2025년에 범죄자들은 불법 암호화폐 채널을 통해 기록적인 1,580억 달러를 이동시켰습니다. 이는 전년 대비 145% 급증한 수치이자 5년 만에 최고 수준입니다. 이 놀라운 수치는 정부와 기업이 자금 흐름을 추적하도록 돕는 블록체인 인텔리전스 스타트업인 TRM Labs가 왜 방금 10억 달러 가치 평가 기준을 넘어섰는지를 설명해 줍니다.

2026년 2월, TRM은 Blockchain Capital이 주도하고 Goldman Sachs, Galaxy Ventures, Bessemer Venture Partners, DRW Venture Capital, Citi Ventures, Y Combinator가 참여한 7,000만 달러 규모의 시리즈 C 라운드를 발표했습니다. 이번 펀딩으로 총 자금 조달액은 2억 2,000만 달러에 달했으며, 회사의 가치는 10억 달러 이상으로 평가받아 범죄를 수익성 없게 만드는 제품을 만드는 산업에서 유니콘 지위에 올랐습니다.

2025년 12월, 단 한 번의 복사-붙여넣기 실수로 어느 암호화폐 트레이더는 5,000만 달러를 잃었습니다. 스마트 컨트랙트 취약점 공격도, 프라이빗 키 유출도 아니었습니다. 피해자는 단순히 거래 내역에서 지갑 주소를 복사했을 뿐입니다. 그 주소는 진짜와 거의 똑같아 보였지만 실제로는 공격자의 것이었습니다. 디파이(DeFi)에서 가장 교활하고 과소평가된 공격 벡터인 주소 포이즈닝(Address Poisoning)에 오신 것을 환영합니다.

Balancer의 스마트 컨트랙트 코드 속에 묻혀 있던, 결국 1억 2,800만 달러의 손실을 초래하게 된 함수 바로 위에는 개발자의 주석이 하나 달려 있었습니다. "이 반올림의 영향은 미미할 것으로 예상됩니다." 그들은 틀렸습니다 — 무려 9자리 수나 말이죠.

2025년 11월 3일, 공격자가 Balancer V2의 Composable Stable Pools에서 미세한 반올림 오류를 악용하여 30분 만에 9개 블록체인 네트워크에 걸쳐 자금을 탈취했습니다. 이는 화려한 재진입(reentrancy) 공격이나 유출된 개인 키 때문이 아니었습니다. 그것은 산술 연산의 문제였습니다 — 누구나 볼 수 있는 곳에 숨어 여러 번의 감사를 통과하고, 이를 무기화할 수 있을 만큼 영리한 누군가를 참을성 있게 기다려온 종류의 버그였습니다.

2025년 2월 21일, 북한의 라자루스 그룹(Lazarus Group)은 역사상 최대 규모의 암호화폐 탈취 사건을 일으켰습니다. 바이비트(Bybit)의 콜드 월렛에서 단 한 번의 트랜잭션으로 15억 달러 상당의 이더리움이 유출되었습니다. 1년이 지난 지금, 숫자는 냉혹한 현실을 보여줍니다. 블록체인 분석 기업들이 초기에는 도난 자금의 88.87%를 추적했지만, 동결된 금액은 단 3.54%에 불과합니다. 나머지는 수천 개의 지갑에 나뉘어 대기 중입니다.

이것은 단순한 강도 사건이 아닙니다. 국가급 해킹 작전이 어떻게 업계 전체의 보안 인프라를 무력화시켰는지, 그리고 지난 12개월 동안 암호화폐 세계가 무엇을 배웠고, 또 무엇을 배우지 못했는지에 대한 사례 연구입니다.

2025년 1월, Trezor 지원팀을 사칭한 단 한 번의 피싱 전화로 인해 한 투자자가 2억 8,400만 달러의 손실을 입었을 때(이는 해당 월 전체 암호화폐 사기 조정 손실액의 71%에 달함), 암호화폐 사기를 단순한 개인 투자자만의 문제로 치부하는 것은 불가능해졌습니다. Chainalysis의 2026 암호화폐 범죄 보고서(2026 Crypto Crime Report)는 보안 연구원들이 우려하던 바를 확인해 주었습니다. 바로 인공지능이 암호화폐 사기를 산업화했으며, 그 수치가 경이로운 수준이라는 점입니다.