"Smart Contracts" 태그로 연결된 59 개 게시물 개의 게시물이 있습니다.

2026년 3월 12일, 단 한 번의 이더리움 트랜잭션이 5,040만 달러 상당의 USDT를 약 36,000달러 가치의 AAVE 토큰 327개로 바꾸어 놓았습니다. 이 손실은 해킹, 익스플로잇 또는 스마트 컨트랙트 버그로 인한 것이 아니었습니다. 관련 모든 프로토콜인 Aave, CoW Swap, SushiSwap은 설계된 대로 정확하게 작동했습니다. 사용자는 모바일 기기에서 99.9% 가격 영향(price impact) 경고를 확인하고, 체크박스를 클릭했으며, 30초도 채 되지 않아 약 5,000만 달러가 MEV 봇들에게 증발하는 것을 지켜보았습니다.

이 사건은 DeFi 역사상 가장 뼈아픈 UX 실패 사례로 기록되었으며, "설계대로 작동하는" 비허가형(permissionless) 시스템이 이 정도의 가치를 파괴할 수 있다면 이를 방지할 책임은 누구에게 있는가라는 불편한 질문을 던집니다.

8 wei. 이는 토큰의 약 0.000000000000000008 에 해당하는 양으로, 실질적인 달러 가치가 거의 없는 아주 미미한 수준입니다. 하지만 2025년 11월 3일, 한 공격자가 이러한 규모의 반올림 오차를 이용해 1억 2,800만 달러의 자산을 탈취했으며, 30분도 채 되지 않아 9개의 블록체인에서 Balancer 의 Composable Stable Pool 을 고갈시켰습니다.

Balancer V2 익스플로잇은 이제 역사상 단일 취약점으로 인한 최대 규모의 멀티 체인 DeFi 익스플로잇으로 기록되었습니다. 이 사건으로 Balancer 총 예치 자산 (TVL) 의 52% 가 하룻밤 사이에 증발했으며, 업계 최고 보안 기업들의 10회 이상의 감사를 통과했음에도 발생했습니다. 심지어 Berachain 은 자금을 회수하기 위해 긴급 하드포크를 실행해야만 했습니다. 취약점은 무엇이었을까요? 바로 잘못된 방향으로 반올림을 수행하는 단 한 줄의 코드였습니다.

1시간도 채 걸리지 않았습니다. 2026년 1월 31일, 한 공격자가 CrossCurve의 브릿지 인프라 내 단일 스마트 컨트랙트 함수에서 치명적인 검증 체크 누락을 발견했습니다. 그리고 누구도 반응하기 전에 Ethereum, Arbitrum 및 기타 네트워크에서 체계적으로 300만 달러를 탈취했습니다. 정교한 제로데이 공격도, 내부 키 유출도 없었습니다. 그저 조작된 메시지와 블록체인 상의 누구나 호출할 수 있는 함수 호출뿐이었습니다.

CrossCurve 사건은 크로스체인 브릿지가 탈중앙화 금융 (DeFi)에서 가장 위험한 공격 표면으로 남아 있다는 점을 상기시켜 줍니다. 또한, 다층 보안 아키텍처를 자랑하는 프로토콜이라 할지라도 단 하나의 컨트랙트에서 허점이 발견되면 무너질 수 있음을 보여줍니다.

2026년 1월, 모든 블록체인에서 ERC-8004 표준으로 등록된 AI 에이전트는 337개였습니다. 3월 중순까지 그 수는 130,000개를 돌파하며 3개월 만에 39,000% 급증했습니다. 그리고 이 급증을 주도하고 있는 체인은 이더리움이 아닙니다. 바로 BNB 체인입니다.

약 89,451개의 전체 ERC-8004 에이전트 중 34,278개가 현재 BNB 스마트 체인(BSC)에 상주하고 있습니다. Base가 16,549개로 2위를 차지했으며, 이더리움 메인넷이 14,000여 개로 그 뒤를 잇고 있습니다. 수년간 DeFi를 정의해 온 위계 질서 — 이더리움이 1위, 나머지는 2위 — 는 기계 경제(machine economy)에서는 통하지 않습니다.

개발자의 85%가 매일 AI 코딩 도구를 사용하고 모든 운영 코드의 41%가 기계에 의해 생성되는 시대에, 모든 프로토콜에 대한 질문은 더 이상 "문서화가 얼마나 잘 되어 있는가?"가 아닙니다. "AI 에이전트가 인간의 도움 없이 당신의 플랫폼으로 빌드할 수 있는가?"입니다.

Circle은 2026년 3월 14일, Circle Skills를 출시하며 이 질문에 답했습니다. 이는 Cursor, Claude Code, OpenAI Codex 및 모든 skills 호환 에이전트가 즉석에서 작동하는 스테이블코인 통합 기능을 생성할 수 있게 해주는 AI 네이티브 지침의 오픈 소스 패키지입니다. npx skills add circlefin/skills 명령 하나만으로 AI 어시스턴트는 개발자가 문서 페이지를 한 번도 열지 않고도 USDC 결제 전송, 토큰의 크로스 체인 브릿징, 스마트 컨트랙트 배포, 지갑 관리를 수행할 수 있습니다.

이는 암호화폐 프로토콜이 개발자를 유치하기 위해 경쟁하는 방식에서 일어난 지각 변동을 상징하는 작은 설치 단계입니다.

단 한 번의 라운딩 오류 — Solidity 의 정수 나눗셈에서 발생한 1센트 미만의 정밀도 손실 — 이 30분 만에 9개의 블록체인에 걸쳐 Balancer 에서 1억 2,800만 달러를 탈취했습니다. 해당 풀은 수년간 운영되어 왔습니다. 여러 차례의 감사를 통해 코드를 검토했지만, 아무도 이를 발견하지 못했습니다. 이것이 2026년 DeFi 보안의 현주소입니다. 입증된 바와 같이 반복적으로 실패한 패러다임에 의해 수십억 달러가 보호되고 있습니다.

이제 a16z crypto 는 근본적인 재고를 제안하고 있습니다. 2026년 "Big Ideas" 보고서에서 이 벤처 캐피털사는 업계가 배포된 스마트 컨트랙트 코드가 최종적인 권위라는 근본적인 믿음인 "코드가 곧 법 (code is law)" 을 버리고, 수학적으로 정의된 안전 속성이 집행 가능한 표준이 되는 "사양이 곧 법 (spec is law)" 으로 대체해야 한다고 주장합니다. 이러한 전환은 프로토콜이 구축, 감사 및 방어되는 방식을 근본적으로 재편할 수 있습니다.

어떠한 은행도 이 대출을 승인하지 않았습니다. 이사회에 앉아 리스크를 검토하는 신용 위원회도 없었습니다. 하지만 2026년 2월까지, 14개의 블록체인에서 실행되는 일련의 스마트 컨트랙트는 누적 대출 규모 1조 달러 이상을 창출했습니다. 이는 Aave의 처리량이 중견 국가의 은행 시스템과 어깨를 나란히 한다는 것을 의미하는 수치입니다. 2017년 단순한 P2P 대출 디앱(dApp)인 "ETHLend"로 시작한 프로토콜에게 이 이정표는 단순한 상징 그 이상입니다. 이는 탈중앙화 신용 시장이 실험 단계를 넘어 기관급 금융 인프라의 영역으로 진입했다는 구조적 증거입니다.

비트코인은 1.7조 달러의 시가총액을 보유하고 있지만, 그 중 DeFi에 참여하는 비중은 1% 미만입니다. 이유는 의외로 간단합니다. 비트코인을 활용하는 모든 방식은 수탁 기관, 브릿지 운영자 또는 멀티시그 위원회와 같은 제3자에게 자산을 맡겨야 했기 때문입니다. 2025년 12월, Babylon Labs와 Aave Labs는 이러한 판도를 완전히 바꿀 수 있는 파트너십을 발표했습니다. 그들의 계획은 비트코인 블록체인에 네이티브 비트코인을 잠그는 동시에 세계 최대의 탈중앙화 대출 프로토콜인 Aave V4 내에서 담보로 사용할 수 있게 하는 비수탁형 금고(trustless vaults)를 구축하는 것입니다.

테스트는 2026년 초에 시작되었으며, 4월 제품 공개를 목표로 하고 있습니다. 만약 이것이 성공한다면, 래핑(wrapping)이나 브릿지 없이, 그리고 제3자를 신뢰할 필요 없이 크립토 시장에서 가장 큰 유휴 자본 풀을 생산적인 DeFi 용도로 활용할 수 있게 될 것입니다.

2025년 12월, Anthropic의 연구원들은 AI 에이전트에게 실제로 취약점이 노출되었던 405개의 스마트 컨트랙트를 분석하도록 했습니다. 해당 에이전트는 그 중 51%인 207개에 대해 작동 가능한 익스플로잇(취약점 공격)을 생성했으며, 시뮬레이션된 환경에서 5억 5,000만 달러의 자금을 탈취했습니다. 익스플로잇 성공 1건당 비용은 얼마였을까요? 단돈 1.22달러였습니다.

이 단 하나의 데이터 포인트는 2026년 탈중앙화 금융(DeFi)이 직면한 실존적 위기를 여실히 보여줍니다. 2025년 크립토 해킹으로 소실된 34억 달러는 노력이 부족해서 발생한 결과가 아닙니다. 공격받은 프로토콜의 대부분은 감사를 받았으며, 일부는 여러 차례 감사를 거쳤습니다. 그것은 패러다임의 실패였습니다. 이제 a16z Crypto는 급진적인 대안을 제안합니다. "코드이즈로(Code is Law, 코드가 곧 법이다)"를 버리고, 수학적으로 증명된 안전 속성과 실시간 런타임 가드레일을 통해 대부분의 익스플로잇을 구조적으로 불가능하게 만드는 "스펙이즈로(Spec is Law, 명세가 곧 법이다)"를 수용하라는 것입니다.