"Solana" 태그로 연결된 103 개 게시물 개의 게시물이 있습니다.

2025년 12월, 약 1,200일간의 개발 기간과 Jump Crypto의 수억 달러 규모 투자를 거쳐, 마침내 Firedancer 풀 밸리데이터 클라이언트가 솔라나 메인넷에 정식 출시되었습니다. 4개월이 지난 지금, 결론은 명확합니다. Firedancer는 제대로 작동하며, 네트워크의 그 어떤 것과도 비교할 수 없는 속도로 블록 생성을 수행하고 있고, 이미 네트워크 스테이크의 20% 이상을 유치했습니다. 이제 솔라나의 기관급 신뢰도가 걸린 더 어려운 질문은, 첫 번째 치명적인 Agave 버그가 발생하여 문제가 강제되기 전에 이더리움이 10년 동안 구축해 온 것과 같은 클라이언트 다양성을 확보할 수 있느냐는 것입니다.

이것은 블록체인 역사상 가장 거대한 단일 클라이언트 엔지니어링 노력에 대한 이야기이며, 이것이 단순한 처리량보다 회복 탄력성 측면에서 왜 더 중요한지, 그리고 남은 집중 리스크가 2026년에 배포를 결정하는 빌더들에게 무엇을 의미하는지에 대한 이야기입니다.

네트워크 카드부터 다시 구축된 3년의 재작성​

Jump Crypto는 2022년에 당시로서는 무모하게 들렸던 가설과 함께 Firedancer 개발을 시작했습니다. 바로 솔라나 밸리데이터 전체를 C 언어로 바닥부터 다시 작성하고, 고빈도 매매(HFT) 시스템에서 빌려온 타일 기반 아키텍처를 적용하는 것이었습니다. 팀은 원래 2024년 2분기 메인넷 출시를 목표로 했으나, 결과적으로 약 18개월 정도 지연되었습니다.

이러한 지연 자체도 시사하는 바가 큽니다. Firedancer는 Anza의 Agave(Rust 기반 레퍼런스 클라이언트)나 Jito-Solana(Agave의 MEV 최적화 포크)의 포크가 아닙니다. 이는 네트워크의 나머지 부분과 실행 코드를 전혀 공유하지 않는 독립적인 C/C++ 구현체입니다. 즉, 단 1달러의 스테이크라도 안전하게 운영되기 전에 모든 합의 규칙, 트랜잭션 처리 경로, 가십 프로토콜을 메인넷의 실제 동작에 맞춰 다시 구현하고 검증해야 했습니다.

Jump의 중간 솔루션이었던 Frankendancer는 Firedancer의 고성능 네트워킹 스택과 Agave의 런타임을 결합했습니다. 이 하이브리드 모델은 2025년 내내 조용히 스테이크를 모았습니다(6월 8%, 10월 20.9%). 12월에 정식 Firedancer 클라이언트가 출시되었을 때, 이 스테이크의 상당 부분이 자연스럽게 이전되었으며, 새로운 클라이언트는 첫날부터 신뢰할 수 있는 운영 거점을 확보할 수 있었습니다.

100만 TPS가 실제로 의미하는 것​

헤드라인 숫자는 실제이지만, 세부 사항을 살펴볼 필요가 있습니다. Firedancer의 네트워킹 레이어는 스트레스 테스트에서 초당 100만 건 이상의 트랜잭션을 처리했지만, 이는 실제 운영 메인넷이 아닌 4개 대륙에 분산된 6개의 노드 클러스터라는 제어된 환경에서의 결과였습니다. 오늘날 실제 솔라나 메인넷은 프로토콜 수준에서 초당 약 5,000~6,000 TPS를 유지하며, 2026년 4월 피크 기간의 안정적인 메인넷 평균은 65,000 TPS에 가깝습니다.

2026년 중반의 현실적인 궤적은 좀 더 완만하면서도 유용합니다. 일상적인 운영 환경에서 10,000 TPS 이상을 기록하는 것으로, 이는 현재보다 2~3배 향상된 수치이며 이전의 네트워크를 불안정하게 만들었던 급격한 트래픽 증가를 흡수할 수 있는 여유 공간을 제공합니다. 이것이야말로 온체인에서 구축할 수 있는 범위를 진정으로 변화시키는 처리량입니다.

Firedancer가 실제로 최적화하는 부분은 다음과 같습니다.

• 트랜잭션 수집 (Transaction ingestion): NIC에서 직접 패킷을 읽어 시스콜 오버헤드를 제거하는 커널 바이패스 네트워킹.
• 서명 검증 (Signature verification): 코어당 초당 수만 개의 서명을 처리할 수 있는 AVX-512 벡터화 ed25519 검증.
• 블록 생성 (Block production): 각 밸리데이터 기능이 고정된 자체 프로세스에서 실행되어 느린 서명 검증기가 블록 생성기의 자원을 점유할 수 없도록 하는 타일 기반 파이프라인.
• 메모리 레이아웃 (Memory layout): 범용 런타임을 가정하지 않고 현대 서버 CPU 토폴로지에 맞춘 캐시 인식 데이터 구조.

이 중 그 어느 것도 화려해 보이지는 않지만, 이는 데이터베이스나 시장 데이터 피드를 빠르게 만드는 데 필수적인 작업들입니다. 블록체인 밸리데이터에 이를 적용함으로써, 부하 상황에서 솔라나를 반복적으로 성능 저하 상태로 몰아넣었던 병목 현상을 제거합니다.

진짜 이야기: 단일 클라이언트 장애 모드 제거​

처리량이 언론의 주목을 받지만, Firedancer의 더 중요한 기여는 구조적인 측면에 있습니다. 솔라나 역사상 처음으로 Agave와 실행 코드 계보를 공유하지 않는 밸리데이터 클라이언트를 갖게 된 것입니다.

대안을 생각해 보십시오. 스테이크 기준으로 가장 지배적인 클라이언트인 Jito-Solana는 그 자체로 Agave의 포크입니다. 순정 Agave는 나머지 대부분에서 실행됩니다. 2026년 초 기준 대략적인 점유율은 다음과 같습니다.

• Jito-Solana: 스테이킹된 SOL의 72%
• Frankendancer / Firedancer: 21%
• 순정 Agave (Vanilla Agave): 7%

네트워크의 80%가 공통된 코드 조상을 공유하고 있습니다. 지난 2년 동안 이더리움 실행 클라이언트에 두 차례나 발생했던 것과 같은 Agave 런타임의 단일 치명적 버그는 단순한 성능 저하 이벤트로 끝나지 않을 것입니다. 그것은 곧 네트워크 중단을 의미합니다.

이더리움은 이 교훈을 값비싼 대가를 치르고 배웠습니다. 2025년 9월 발생한 Reth 버그는 블록 2,327,426에서 1.6.0 및 1.4.8 버전의 밸리데이터들을 멈추게 했습니다. 이는 실행 레이어 클라이언트의 5.4%에 영향을 미친 불편한 사고였습니다. 하지만 나머지 94.6%가 Geth, Nethermind, Besu, Erigon에 분산되어 있었기 때문에 네트워크는 블록 생성을 계속할 수 있었습니다. 이더리움 생태계는 단일 클라이언트가 보유해야 할 최대 점유율을 33%로 간주하며, Geth의 48~62% 점유율조차 해결되지 않은 거버넌스 문제로 여깁니다.

현재 솔라나의 80% 이상이 Agave 파생 클라이언트에 집중되어 있는 상황은 이더리움이 위기로 간주하는 수준보다 훨씬 심각합니다. Firedancer는 이를 해결할 수 있는 유일하고 신뢰할 수 있는 탈출구입니다.

다음 단계에서 일어나야 할 일​

수학적 계산은 불편할 수 있지만 해결 가능합니다. 솔라나가 진정한 멀티 클라이언트 회복탄력성(multi-client resilience)을 확보하기 위해서는 2026년 중에 두 가지 일이 일어나야 합니다.

1. Jito 사용자가 순수 Firedancer로 전환해야 합니다. Jito의 MEV 추출 로직은 현재의 집중도를 유지시키는 중력과 같은 존재입니다. 이 기능이 Firedancer 호환 플러그인으로 이식되기 전까지는 대규모 스테이킹 운영 주체들이 Agave 파생 코드에 머물러야 할 강력한 재정적 이유가 있습니다.
2. Agave와 Jito의 합산 스테이크 비중이 50% 미만으로 떨어져야 합니다. Firedancer가 50%를 넘어서면, 솔라나는 치명적인 Agave 버그가 발생하더라도 네트워크 중단 없이 생존할 수 있습니다. 이것은 모든 신뢰할 수 있는 기관 수탁 기관과 ETF 발행사가 암묵적으로 보증하는 회복탄력성의 최소 기준입니다.

Frankendancer 채택률이 4개월 만에 두 배 이상 증가했다는 사실은 이러한 전환이 가능하다는 것을 시사하지만, 저절로 이루어지는 것은 아닙니다. 검증인 경제학, 모니터링 도구, 운영 숙련도 등 모든 면에서 기존 체제가 유리합니다. Jump와 Anza 모두 2026년을 강력하게 추진할 해로 지목했지만, 두 곳 모두 검증인 세트를 직접 제어하지는 않습니다.

Firedancer + Alpenglow: 통합 로드맵​

Firedancer는 메인넷 출시 이후 솔라나의 가장 야심 찬 기술적 사이클의 절반에 불과합니다. 나머지 절반은 2025년 9월 투표에 참여한 SOL 스테이크의 98.27%가 승인한 완전한 합의 엔진 재작성인 Alpenglow입니다.

Alpenglow는 역사 증명(Proof-of-History)과 TowerBFT를 폐기하고, 빠른 확정성(fast-finality) 합의를 위한 Votor와 데이터 전파를 위한 Rotor라는 두 가지 새로운 구성 요소로 대체합니다. 주요 결과는 확정 시간이 약 12.8초에서 100 ~ 150밀리초로 단축되는 것이며, 이는 2026년 3분기 메인넷 통합을 목표로 하는 100배의 개선 효과입니다.

기관 사용자에게는 각 요소보다 두 요소의 결합이 더 중요합니다.

• 1초 미만의 확정성은 결제 속도를 중앙화 거래소 수준으로 끌어올려, 오늘날 여전히 전통적인 경로를 통해 처리되는 온체인 고빈도 매매(HFT)와 실물 자산(RWA) 결제의 문을 엽니다.
• 멀티 클라이언트를 통한 높은 처리량은 역사적으로 기업 재무 및 토큰화 자산 발행사들이 신중한 태도를 유지하게 했던 "솔라나 가동 중단"이라는 반대 논거를 제거합니다.
• 독립적인 코드 경로는 수탁 기관과 ETF 지정 참가자들이 네트워크 리스크 모델에 점점 더 많이 포함시키고 있는 실사 요건을 충족합니다.

2026년 초 솔라나가 유치한 일일 5,800만 달러의 ETF 유입과 8억 2,700만 달러의 토큰화 실물 자산은 선행 지표입니다. 기관 자금은 대규모로 단일 클라이언트 네트워크에 전념하지 않습니다.

개발자가 주목해야 할 점​

2026년에 솔라나에서 배포를 진행한다면, 실질적인 시사점은 명확합니다.

• 처리량 여유가 현실화됩니다. 초당 5,000건(TPS)의 프로덕션 한계는 고빈도 dApp들에게 지속적인 설계 제약이었습니다. 2026년 4분기까지 이 제약이 실질적으로 완화되면서, 이전에는 공격적으로 배칭(batching)하거나 압축해야 했던 오더북, 온체인 게임, 에이전트 기반 워크플로우의 비용 계산 방식이 바뀝니다.
• 지연 시간 가정을 업데이트해야 합니다. Alpenglow가 예정대로 구현되면, 12초 확정성을 전제로 구축된 결제 가설은 쓸모없게 됩니다. 다운스트림 액션을 트리거하기 전에 확정(confirmation)을 기다리는 설계는 여러 차례의 왕복(round-trips)을 하나로 통합할 수 있습니다.
• 클라이언트 인지형 인프라가 더욱 중요해집니다. Firedancer 채택이 늘어남에 따라, 클라이언트 고유의 특성을 우아하게 처리하는 RPC 제공업체, 인덱서, 모니터링 도구가 프로덕션 등급의 선택지가 될 것입니다. 일반적인 "솔라나 RPC"는 더 이상 유의미한 차별화 요소가 되지 못합니다.
• 집중화 리스크는 여전히 실재합니다. Jito 스테이크가 마이그레이션되기 전까지는 단 하나의 Agave 버그로도 네트워크가 중단될 수 있습니다. 재무적으로 중요한 애플리케이션은 이러한 시나리오를 염두에 두고 설계해야 합니다. 솔라나를 피하는 것이 아니라, 이더리움 대비 네트워크의 회복탄력성 곡선이 어디에 위치해 있는지 이해하는 것이 핵심입니다.

요점​

Firedancer의 메인넷 출시는 솔라나 역사상 가장 중요한 인프라 이정표이며, 이는 단순히 속도에 관한 것이 아닙니다. 이는 가장 기술적으로 야심 찬 블록체인 중 하나가 기관들이 보증할 수 있는 네트워크로 성장할 수 있는지에 관한 것입니다. 100만 TPS 데모가 헤드라인을 장식하지만, 구조적 성취는 검증인 경제학이 협조한다면 솔라나가 회복탄력성 지표 면에서 이더리움과 유사해질 수 있는 신뢰할 수 있는 경로를 갖게 되었다는 점입니다.

향후 12개월은 Jump의 1억 달러 이상의 베팅이 성공할지 알려줄 것입니다. 2026년 말까지 Firedancer의 스테이크 비중이 50%를 넘어서고 Alpenglow가 제때 출시된다면, 솔라나는 2027년에 진정으로 다른 네트워크로 진입하게 됩니다. 즉, 고성능 원장의 처리량, 실시간 결제 시스템의 확정성, 그리고 신뢰할 수 있는 기관용 레일로서의 클라이언트 다양성을 모두 갖춘 네트워크가 되는 것입니다. 만약 채택률이 25 ~ 30%에서 정체된다면, 헤드라인 숫자는 마케팅 자산으로만 남고 기저의 단일 클라이언트 리스크는 지속될 것입니다.

개발자와 인프라 팀이 구축 위치를 선택함에 있어 판단은 간단합니다. 2026년의 솔라나는 2025년의 솔라나보다 더 유능하고 회복탄력적이며, 궤적은 긍정적이고, 남은 과제는 기술적인 것보다 운영적인 것에 가깝습니다. 이는 4년 전 Jump가 해결하려고 했던 문제보다 훨씬 나은 상황입니다.

BlockEden.xyz는 Firedancer, Agave, Jito 파생 노드에 대한 내장 지원을 통해 멀티 클라이언트 시대에 맞게 설계된 프로덕션 등급의 솔라나 RPC 인프라를 운영합니다. 솔라나 API 서비스 탐색하기를 통해 네트워크의 과거가 아닌 미래를 추적하는 인프라를 기반으로 구축해 보세요.

2026년 4월의 첫 18일 동안, 공격자들은 12개 이상의 DeFi 프로토콜에서 $6억 600만 달러 이상을 탈취했습니다. 이는 3주도 채 되지 않는 기간 동안 2026년 1분기 전체 도난액의 3.7 배에 달하는 수치입니다. 2025년 2월$ 15억 달러 규모의 Bybit 해킹 이후 암호화폐 도난이 가장 심각했던 달이었으며, 특히 DeFi 분야에서는 2022년 브리지 익스플로잇 시대 이후 가장 큰 피해를 입은 시기였습니다.

하지만 2022년과는 달리, 이번 사건 중 스마트 컨트랙트 버그로 인해 발생한 것은 거의 없었습니다.

Kelp DAO 브리지 탈취 ($2억 9,200만 달러), Drift Protocol의 오라클 및 키 침해 ($ 2억 8,500만 달러), 그리고 3월 말 Resolv Labs의 AWS 탈취 ($ 2,500만 달러)는 조용하지만 더 곤혹스러운 공통점을 공유합니다. 이 사건들은 모두 프로토콜 팀이 자체적인 신뢰 가정 (기본 설정, 사전 서명된 거버넌스 마이그레이션, 단일 클라우드 키 등)을 변경함으로써 가능해졌으며, 이는 어떤 스마트 컨트랙트 감사자도 경고할 이유가 없는 사항들이었습니다. 2026년 4월은 Solidity에 대한 이야기가 아닙니다. 이는 코드, 인프라, 그리고 거버넌스 사이의 운영상의 틈새 (operational seams)에 대한 이야기이며, '업그레이드'가 새로운 공격 표면 (attack surface)이 되었을 때 어떤 일이 벌어지는지에 대한 이야기입니다.

1분기보다 심각했던 18일간의 기록​

4월이 얼마나 이례적이었는지 이해하려면 수치를 분석해 볼 필요가 있습니다.

CertiK은 2026년 1분기 총 손실액을 145건의 사건에 걸쳐 약 $5억 100만 달러로 집계했습니다. 이 역시 당시 11개월 만에 최악의 달이었던 1월의$ 3억 7,000만 달러 규모 피싱 파도에 의해 부풀려진 수치였습니다. 2026년 2월은 약 $2,650만 달러로 수그러들었습니다. 3월은 20건의 개별 사건을 통해$ 5,200만 달러로 다시 상승했으며, 이로 인해 PeckShield는 소규모 DeFi 플랫폼 전반에 걸쳐 반복적인 공격 패턴이 나타남에 따라 '그림자 전염 (shadow contagion)'을 경고했습니다.

그러다 2026년 4월 1일 — 만우절 — 당시 올해 최대 규모의 해킹이었던 Drift 익스플로잇으로 문을 열었습니다. 18일 후, Kelp DAO 탈취 사건이 이를 넘어섰습니다. 이 두 사건만 합쳐도 $5억 7,700만 달러를 초과합니다. 여기에 Resolv 여파, 진행 중인 인프라 침해, 그리고 PeckShield와 SlowMist 추적기에 누적된 12건의 소규모 DeFi 침해 사례를 더하면, 보름 남짓한 기간 동안$ 6억 600만 달러 이상의 손실액에 도달하게 됩니다.

참고로, Chainalysis는 2025년 전체 암호화폐 도난액을 총 $ 34억 달러로 보고했으며, 그 대부분은 Bybit 침해 사고에 집중되어 있었습니다. 2026년 4월의 속도가 유지된다면 연말이 되기 전에 그 기준점을 쉽게 넘어설 것입니다. 위협은 양적으로만 성장한 것이 아니라, 집중도와 공격자의 정교함 측면에서도 성장했습니다.

세 가지 해킹, 세 가지의 본질적으로 다른 실패 모드​

4월의 해킹 공세가 단지 암울한 것을 넘어 분석적으로 흥미로운 이유는, 세 가지 주요 사건이 세 가지 뚜렷한 공격 유형으로 명확하게 분류되기 때문입니다. 각 공격은 스택의 서로 다른 계층을 겨냥하며, 이는 전통적인 스마트 컨트랙트 감사자가 포착하도록 설계되지 않은 유형의 실패들입니다.

유형 1: 새로운 단일 장애점으로서의 브리지 구성 (Kelp DAO, $ 2억 9,200만 달러)​

4월 18일, 공격자는 Kelp DAO의 LayerZero 기반 브리지에서 약 $ 2억 9,200만 달러에 해당하는 116,500 rsETH를 탈취했습니다. CoinDesk와 LayerZero의 포렌식 팀이 재구성한 바에 따르면, 이 기법은 Solidity 버그를 악용한 것이 아니라 구성 (configuration) 선택을 악용했습니다.

Kelp의 브리지는 단일 검증인 (1-of-1 DVN) 설정으로 운영되었습니다. 공격자들은 해당 검증인을 지원하는 두 개의 RPC 노드를 침해하고, 조직적인 DDoS 공격을 사용하여 검증인이 페일오버 (장애 조치) 모드로 전환되도록 강제한 다음, 침해된 노드를 사용하여 허위 크로스체인 메시지가 도착했음을 인증했습니다. 브리지는 신호에 맞춰 rsETH를 방출했습니다. LayerZero는 이번 작전의 배후로 북한의 라자루스 그룹 (Lazarus Group)을 지목했습니다.

그 뒤를 이은 공개적인 책임 공방은 운영 계층이 얼마나 취약해졌는지를 잘 보여줍니다. LayerZero는 Kelp가 멀티 검증인 구성을 사용하도록 경고받았다고 주장했습니다. Kelp는 1-of-1 DVN 모델이 새로운 OFT 통합을 위한 LayerZero 자체 배포 문서의 기본 설정이었다고 반박했습니다. 두 입장 모두 기술적으로는 사실입니다. 더 중요한 점은 CertiK, OpenZeppelin, Trail of Bits와 같은 어떤 감사 법인도 "메시징 계층 DVN 구성이 브리징하려는 자산의 가치에 적합한가?"에 대한 검토를 상품화하여 제공하지 않는다는 것입니다. 이러한 논의는 결과물이 아닌 두 팀 간의 Slack 채널에서 이루어집니다.

유형 2: 잠재적 백도어로서의 사전 서명된 거버넌스 권한 부여 (Drift, $ 2억 8,500만 달러)​

4월 1일, Solana 최대 규모의 퍼펫추얼 DEX인 Drift Protocol에서 약 $ 2억 8,500만 달러가 12분 만에 탈취되었습니다. 이 공격은 세 가지 벡터를 연결했습니다:

1. 가짜 오라클 타겟: 공격자는 약 7억 5,000만 개의 가짜 "CarbonVote Token" (CVT)을 발행하고, 약 $500 달러 규모의 소규모 Raydium 풀을 생성한 뒤,$ 1 달러 근처에서 자전 거래 (wash-trade)를 하여 가격 이력을 조작했습니다.
2. 오라클 데이터 수집: 시간이 지나면서 조작된 가격이 오라클 피드에 수집되었고, CVT가 합법적인 견적 자산인 것처럼 보이게 만들었습니다.
3. 특권 접근: 가장 치명적인 점은, 공격자가 이전에 Drift의 멀티시그 서명자들을 사회 공학적으로 속여 숨겨진 권한 부여에 사전 서명하게 했으며, 타임락 (timelock)이 없는 보안 위원회 (Security Council) 마이그레이션으로 인해 프로토콜의 마지막 지연 방어선이 제거되었다는 것입니다.

조작된 오라클을 통해 부풀려진 담보 포지션이 승인되자, 공격자는 온체인 모니터링이 작동하기 전에 USDC, JLP 및 기타 예비 자산에 대해 31회의 신속한 출금을 실행했습니다.

강조해야 할 두 가지 세부 사항이 있습니다. 첫째, Elliptic과 TRM Labs 모두 Drift 사건을 라자루스의 소행으로 보고 있으며, 이로써 18일 만에 두 번째 국가 급 DeFi 침해가 발생했습니다. 둘째, 프로토콜이 실패한 것이 아니라 거버넌스 배관이 실패했다는 점입니다. 스마트 컨트랙트는 구성된 대로 정확하게 작동했습니다. 취약점은 사회 공학적 기법과 타임락을 제거한 거버넌스 업그레이드에 있었습니다.

Solana 재단의 대응은 시사하는 바가 큽니다. 재단은 며칠 만에 보안 체계 전면 개편을 발표하며, 이번 사건을 Solana 프로토콜의 버그가 아닌 프로토콜과 생태계 간의 조정 문제로 명시적으로 규정했습니다. 이러한 프레이밍은 정확합니다. 이는 또한 보안 경계가 이동했음을 인정하는 것이기도 합니다.

사례 3: 5억 달러 규모의 스테이블코인을 뒷받침하는 단일 클라우드 키 (Resolv, 2,500만 달러)​

3월 22일에 발생한 Resolv Labs 사고는 금액 면에서는 세 건 중 가장 작지만, 구조적으로는 가장 시사하는 바가 큽니다. Resolv Labs의 AWS Key Management Service (KMS) 환경에 접근 권한을 얻은 공격자는 권한이 부여된 SERVICE_ROLE 서명 키를 사용하여 약 10만 ~ 20만 달러의 실제 USDC 예치금으로부터 담보가 없는 USR 스테이블코인 8,000만 개를 민팅(발행)했습니다. 총 현금화 소요 시간: 17분.

취약점은 Resolv의 스마트 컨트랙트에 있었던 것이 아닙니다 — 컨트랙트는 감사를 통과했습니다. 문제는 권한이 있는 민팅 역할이 멀티시그가 아닌 단일 외부 소유 계정 (EOA)이었으며, 그 키가 단일 AWS 계정 뒤에 위치했다는 점이었습니다. Chainalysis가 언급했듯이, "5억 달러의 TVL을 보유한 프로토콜이 무제한 민팅을 제어하는 단일 프라이빗 키를 가지고 있었던 것"입니다. 최초의 침입 경로가 피싱이었는지, 잘못 설정된 IAM 정책이었는지, 유출된 개발자 자격 증명이었는지, 아니면 공급망 공격이었는지는 여전히 밝혀지지 않았으며 — 그 모호함 자체가 핵심입니다. 프로토콜의 공격 표면은 바로 DevOps 경계였습니다.

공통된 맥락: 레드팀 검토 없는 업그레이드​

브릿지, 오라클, 클라우드 관리 서명 키는 서로 매우 다른 영역처럼 느껴집니다. 하지만 4월에 발생한 각 사고는 동일한 운영 패턴으로 거슬러 올라갑니다. 즉, 팀이 구성, 거버넌스 프로세스 또는 인프라 선택에 대해 업그레이드를 수행하면서 프로토콜의 신뢰 가정을 변경했으나, 새로운 가정을 포착할 수 있는 검토 프로세스가 구조화되어 있지 않았다는 점입니다.

Kelp는 LayerZero가 문서화는 했지만 3억 달러의 유동성을 대상으로 스트레스 테스트를 거치지 않은 기본 DVN 설정으로 업그레이드했습니다. Drift는 타임락 (timelocks)을 제거하기 위해 보안 위원회 거버넌스를 업그레이드했으며, 이로 인해 사회 공학적 기법으로 승인된 권한을 드러낼 수 있었던 지연 시간을 없애 버렸습니다. Resolv는 일반적인 클라우드 DevOps의 일부로 단일 키에 권한이 부여된 민팅 역할을 운영했습니다.

이것이 바로 OWASP가 2026 스마트 컨트랙트 10대 취약점 (SC10)에 "프록시 및 업그레이드 가능성 취약점"을 완전히 새로운 항목으로 추가한 이유입니다. 프레임워크는 마침내 공격자들이 이미 이동한 지점을 따라잡고 있습니다. 하지만 OWASP 규칙은 스스로 실행되지 않습니다. 대부분의 프로토콜이 여전히 "우리는 감사를 받았다"라는 지배적인 보안 내러티브에 머물러 예산을 책정하지 않는 인간의 검토 단계가 필요합니다.

그 내러티브는 이제 명백히 불충분함이 증명되었습니다. 2026년의 가장 큰 세 가지 사고 중 일부는 스마트 컨트랙트 감사를 통과했습니다. 침해 사고는 다른 곳에서 발생했습니다.

130억 달러의 자본 유출과 모듈형 신뢰의 실제 비용​

경제적 피해는 도난당한 자금을 훨씬 넘어 파급됩니다. Kelp 자금 유출 후 48시간 이내에 Aave의 TVL은 약 84.5억 달러 하락했으며, 광범위한 DeFi 섹터에서는 132억 달러 이상이 증발했습니다. AAVE 토큰은 16 ~ 20% 하락했습니다. SparkLend, Fluid, Morpho는 rsETH 관련 시장을 동결했습니다. 이러한 자금 이동의 혜택을 가장 많이 본 것으로 보이는 SparkLend는 사용자들이 더 단순한 담보 구성을 가진 곳을 찾으면서 약 6.68억 달러의 순 신규 TVL을 확보했습니다.

이러한 전염 효과의 이면에 있는 메커니즘을 명확히 짚어볼 필요가 있습니다. Kelp의 브릿지를 비운 후, 공격자는 훔친 rsETH를 Aave V3에 담보로 예치하고 이를 기반으로 대출을 실행했습니다. 그 결과 단일 rsETH / 래핑된 이더 (wrapped-ether) 쌍에 약 1.96억 달러의 불량 부채가 집중되었습니다. rsETH를 담보로 수용하는 어떤 대출 플랫폼도 모듈형 DeFi의 결합 방식 때문에 자신들의 담보 안전 장치가 1대 1 실패 모드 (1-of-1 failure mode)를 가진 단일 검증자 LayerZero 브릿지에 의존하고 있다는 사실을 알 수 없었습니다. 브릿지가 무너지자, 모든 플랫폼이 동시에 같은 구멍에 노출되었습니다.

이것이 DeFi 결합성의 핵심에 있는 보이지 않는 결합 문제입니다. 각 프로토콜은 자신의 컨트랙트만 감사할 뿐, 자신이 담보로 수용하는 토큰을 발행하는 프로토콜의 운영상 가정을 감사하는 프로토콜은 거의 없습니다. 2026년 4월의 연쇄 반응은 현재 DeFi 통합을 고려 중인 모든 기관 데스크의 리스크 담당자들에게 그 간극을 명확히 인지시켰습니다.

향후 전망: 감사에서 지속적인 운영 검토로​

4월의 사고 급증을 건설적으로 해석한다면, 이는 DeFi 보안 투자의 다음 단계가 피할 수 없음을 시사합니다. 세 가지 변화가 이미 가시화되고 있습니다.

1. 브릿지 설정 공개의 필수화. 유동성 리스테이킹 및 크로스 체인 프로토콜이 오늘날 스마트 컨트랙트 소스 코드를 공개하는 것과 동일하게 명시적인 DVN 설정, 폴백 (fallback) 규칙, 검증자 임계값을 공개하고 업데이트할 것으로 기대됩니다. 일급 공개 자산으로서의 설정 관리는 이미 늦었습니다.

2. 타임락의 거버넌스 기본값 의무화. 업계 분석에 따르면 거버넌스 마이그레이션을 위한 실질적인 최소 지연 시간은 48시간으로 유지되어야 합니다. 이는 모니터링 시스템이 이상 징후를 감지하고 사용자가 자산을 출금하기에 충분한 시간입니다. Drift 해킹 사례로 인해 3분기까지 타임락 없는 마이그레이션은 전문적으로 방어하기 어려워질 것입니다.

3. 공식적인 다자간 연산 (MPC) 또는 HSM 제어하의 권한 키 보관. Resolv의 단일 EOA 민팅 역할은 이제 업계의 경고 사례가 되었습니다. 민팅 권한을 보유한 프로토콜은 LP와 기관 통합 파트너로부터 임계치 서명 체계 또는 하드웨어 격리 키 보관을 기본적으로 요구받게 될 것입니다.

더 깊은 구조적 변화는 일회성 결과물로서의 "감사"가 지속적인 운영 검토로 대체되고 있다는 점입니다. 이는 연간 감사 주기보다 빠르게 진화하는 설정, 거버넌스 변경 및 인프라 의존성에 대한 지속적인 평가를 의미합니다. 이를 가장 빠르게 내재화하는 프로토콜이 현재 불량 부채가 해결되기를 기다리며 관망하고 있는 기관 자본을 흡수하게 될 것입니다.

신뢰의 경계가 이동했습니다​

2026년 4월은 새로운 유형의 익스플로잇이 등장했다기보다, 기존의 방어 체계가 잘못된 경계를 향하고 있었음을 확인시켜 준 시기였습니다. 스마트 컨트랙트 감사는 여전히 필요하지만, 그것만으로는 전혀 충분하지 않습니다. DeFi의 신뢰 영역은 브릿지 설정, 거버넌스 구조, 및 클라우드 관리 키 등으로 외부로 확장되었으며, 국가 지원 해커 수준의 인내심과 자원을 갖춘 공격자들이 이제 이 경계를 체계적으로 공략하고 있습니다.

차세대 기관 통합을 이끌어낼 프로토콜은 한때 Solidity 코드에 쏟았던 것과 동일한 엄격함을 운영 태세에도 적용하는 프로토콜이 될 것입니다. 여전히 1년 된 감사 PDF 파일을 보안의 근거로 내세우는 팀들은 점점 더 다음 달 뉴스의 헤드라인을 장식할 팀이 되어가고 있습니다.

---

BlockEden.xyz는 종속성(dependencies)이 기술 스택에서 가장 지루하고 안정적인 부분이 되어야 하는 빌더들을 위해 엔터프라이즈급 RPC 및 인덱싱 인프라를 제공합니다. 2026년이 요구하는 운영상의 엄격함에 맞춰 설계된 기반 위에서 개발을 시작하려면 API 마켓플레이스를 살펴보세요.

2026년 4월 10일, 바이낸스(Binance)는 비상장 인터넷 기업의 소유권을 누가 가질 수 있는지에 대한 지형을 조용히 재편했습니다.

바이낸스 Web3 지갑의 마켓(Markets) 섹션에 새로운 "프리 IPO(Pre-IPO)" 행이 나타났습니다. 여기에는 SpaceX, OpenAI, Anthropic, Anduril, Kalshi 및 Polymarket을 참조하는 5개의 토큰화된 자산이 포함되어 있으며, 전 세계 약 2억 7천만 명의 지갑 사용자가 즉시 접근할 수 있게 되었습니다. 적격 투자자 인증도, 브로커리지 계좌도, S-1 서류도 필요 없습니다. 그저 탭 하나만 있으면 됩니다.

이 사용자들 중 누구도 실제 주식을 받는 것은 아닙니다. 배당금, 의결권, 혹은 누군가의 캡 테이블(Cap table)에 이름을 올릴 수도 없습니다. 그들이 얻는 것은 '노출'입니다. 이는 솔라나(Solana) 기반의 토큰화 프로토콜인 프리스톡스(PreStocks)가 보유한 지분과 1:1로 페깅된 합성 온체인 청구권이며, 프리스톡스는 다시 일련의 특수목적법인(SPV)을 통해 포지션을 보유합니다. 구조적으로는 리퍼블릭(Republic)이나 시큐리티자이(Securitize)가 수년 동안 적격 투자자들을 대상으로 운영해 온 방식과 동일합니다. 전례가 없는 지점은 바로 배포 규모입니다. 이전에 이를 시도했던 그 어떤 브로커리지보다 30배 더 큰 소비자 앱을 통해 배포되고 있기 때문입니다.

2년 전, 솔라나에서 밈 코인을 출시한다는 것은 하나의 통과의례를 받아들이는 것을 의미했습니다. 레이디움(Raydium)으로 마이그레이션하기 위해 950 달러를 지불하고, 첫 번째 블록에서 봇에게 스나이핑을 당하며, 본딩 커브(bonding curve)가 완료되자마자 제작자가 물량을 덤핑하는 것을 지켜본 뒤 다음 코인으로 넘어가는 일 말입니다. 2026년 4월 현재, 그 관습은 사라졌습니다. Pump.fun은 바이백을 통해 약 2억 1,300만 달러 상당의 PUMP 토큰을 소각했고, LetsBonk는 1년도 채 되지 않아 런치패드 시장 점유율의 64%를 차지했습니다. 두 플랫폼 모두 안티 스나이퍼 보호, 제작자 수익 공유, 그리고 평판 기반 출시를 중심으로 밈 경제를 조용히 재편하고 있습니다.

67억 달러 규모의 솔라나 밈 시장은 마침내 성숙해지고 있습니다. 이는 규제 기관의 강요 때문이 아니라, 신뢰 인프라가 없는 투기는 결국 스스로를 파괴한다는 사실을 두 경쟁 런치패드가 깨달았기 때문입니다.

지난 5년 동안 "트랜잭션을 위한 SOL 부족(insufficient SOL for transaction)"은 솔라나에서 가장 비용이 많이 드는 오류 메시지였습니다. 비암호화폐 사용자를 대상으로 한 모든 소비자용 앱은 바로 그 지점, 즉 첫 번째 토큰을 사용하기 위해 사용자가 두 번째 토큰을 획득해야 하는 결제 단계에서 상당수의 사용자를 잃었습니다. 2026년 4월, 솔라나 재단은 마침내 그 해답을 내놓았습니다. 바로 dApp이 기본적으로 트랜잭션을 대납하고, 모든 SPL 토큰으로 수수료를 지불하며, 서명을 TEE 또는 KMS 기반 금고에 아웃소싱할 수 있게 해주는 수수료 릴레이어이자 서명 노드인 Kora 입니다. 이는 화려한 출시는 아니지만, 기반 시설의 업그레이드입니다. 그리고 이러한 기반 시설 업그레이드는 Base와 Abstract가 지난 12개월 동안 소비자 온보딩 시장을 조용히 점유할 수 있었던 비결이기도 합니다.

이제 질문은 솔라나가 EVM 소비자 체인의 가스리스(gasless) UX를 따라잡을 수 있느냐가 아닙니다. Kora는 그 부분을 아주 사소한 문제로 만들었습니다. 진짜 질문은 이 라스트 마일의 간극을 메우는 것이 이미 다른 곳에서 개발을 진행한 개발자들을 다시 불러오기에 충분한가 하는 점입니다.

Kora의 실제 기능​

마케팅 수사를 걷어내면 Kora는 트랜잭션 릴레이어, 원격 서명기(remote signer), 정책 엔진이라는 세 가지 요소가 결합된 것입니다. dApp이 트랜잭션을 생성하고 Kora 노드를 수수료 지불자(fee payer)로 설정하면, 사용자는 임베디드 지갑에서 페이로드를 서명하고, Kora 운영자가 공동 서명(co-sign)하여 네트워크에 전송합니다. 검증인은 여전히 SOL로 보상을 받지만, 사용자는 SOL을 전혀 보유할 필요가 없습니다.

흥미로운 부분은 검증 레이어입니다. Kora 노드는 사용자가 전달하는 모든 것을 맹목적으로 전달하지 않습니다. 서명하기 전에 다음 세 가지 검사를 수행합니다:

• 관련 솔라나 프로그램에 대한 명령어 검증(Instruction validation) 을 통해 잘못 형성되거나 악의적인 명령어가 리더에게 도달하기 전에 거부됩니다.
• 현재 SOL 가격과 운영자 마진을 비교하는 오라클 기반 수수료 적정성 검사 를 통해 릴레이어가 손실을 보고 운영되지 않도록 합니다.
• 프로그램 및 토큰 수준의 허용 목록(Allowlist) 및 차단 목록(Blocklist) 강제 적용 을 통해 특정 dApp을 위해 Kora 노드를 운영하는 운영자가 실수로 감사되지 않은 무작위 컨트랙트를 대상으로 하는 트랜잭션을 대납하지 않도록 합니다.

서명 경로는 아키텍처가 야심 차게 설계된 부분입니다. Kora는 Turnkey 및 AWS KMS를 통한 원격 서명을 기본적으로 지원하므로, 수수료를 지불하는 개인 키가 릴레이어의 디스크에 절대 저장되지 않습니다. 솔라나 기반 핀테크 기업의 경우, 이는 "자체적으로 페이마스터를 만들고 잘 작동하길 빌었다"는 것과 "우리의 키 수탁 체계가 SOC 2 감사를 통과했다"는 수준의 차이를 의미합니다.

이 모든 과정은 Runtime Verification에 의해 감사 및 차등 퍼즈 테스트(differentially fuzz-tested)를 거쳤으며, 이는 기관들이 항목을 검토할 때나 언급될 법한 세부 사항입니다.

왜 여기서는 "네이티브"가 "스마트 컨트랙트"보다 나은가​

Kora를 ERC-4337과 비교하며 솔라나가 추격하고 있다고 생각하기 쉽습니다. 하지만 두 아키텍처는 서로 다른 방식으로 작동하며, 그 차이가 중요합니다.

ERC-4337은 계정 추상화(account abstraction)를 이더리움 상단에 병렬 시스템으로 구현한 것입니다. 이는 별도의 멤풀(mempool), UserOperation 객체, 번들러(bundler) 역할, 그리고 EntryPoint 컨트랙트를 도입하는데, 이들 중 어느 것도 기본 프로토콜이 네이티브하게 이해하는 것은 아닙니다. 번들러가 사용자 작업을 패키징하고, 페이마스터가 수수료를 대납하며, 온체인 컨트랙트가 검증을 강제합니다. 이는 작동하며 이더리움 메인넷과 주요 L2에 배포되었지만, 프로토콜이 전혀 예상하지 못했던 UX 기능을 소급 적용하기 위한 6년짜리 건설 프로젝트와 같습니다.

솔라나의 설계는 수년 전 프로토콜 레이어에서 이러한 복잡성을 이미 해결했습니다. 모든 트랜잭션에는 이미 feePayer 필드가 존재합니다. 부분 서명(Partial signatures)은 네이티브 기능입니다. 프로그램은 임의의 명령어를 검증할 수 있습니다. Kora는 번들러-페이마스터 구조가 아니라, feePayer 슬롯을 채우고 프로토콜이 이미 수용하는 부분 서명 중 하나로 서명하는 노드 운영자입니다.

실제적인 결과는 지연 시간(latency)과 개발자 접점 영역에서 나타납니다. ERC-4337 트랜잭션은 자체 정렬 규칙과 전파 지연이 있는 별도의 멤풀을 거칩니다. 반면 Kora 트랜잭션은 다른 모든 솔라나 트랜잭션과 동일한 경로를 거치며 400ms 미만의 동일한 파이널리티(finality)를 가집니다. 고려해야 할 번들러 차익 거래 시장도, 추적해야 할 EntryPoint 컨트랙트 버전도, 디버깅해야 할 UserOperation 가스 추정치도 없습니다.

이를 통해 솔라나 개발자가 얻는 것은 "수수료 지불자 필드를 설정하고 dApp을 출시하는" 것에 가까운 단순함입니다. 반면 잃는 것은 다중 키 인증, 배치 호출, 온체인 세션 정책 등 EVM 스마트 계정이 기본적으로 제공하는 일부 선택권입니다. 하지만 이러한 기능 중 상당수는 PDA 및 프로그램 제어 계정을 통해 솔라나에서 별도로 구축되고 있습니다.

솔라나에 실제로 존재했던 라스트 마일 간극​

2025년과 2026년 솔라나의 개발자 모멘텀에 대한 많은 이야기에도 불구하고, 소비자 지갑 레이어는 뒤처진 부분이었습니다. 인프라 스택은 빠르게 성숙했습니다. Pump.fun의 DEX 거래량은 2026년 1분기에 20억 달러를 돌파했고, Jito와 Marinade는 유동 스테이킹을 장악했으며, Tensor는 NFT 거래를 전문 터미널 수준으로 끌어올렸습니다. 하지만 이 모든 제품은 "사용자에게 SOL이 없다"는 문제에 대해 각자의 답을 내놓아야 했습니다.

우회 방법들은 창의적이었습니다. Pump.fun은 초기 토큰 획득을 임베디드 온램프(onramp)를 통해 라우팅했습니다. Jito는 사용자 계정에 소액(dust)을 미리 채워두었습니다. Tensor는 사용자가 매수 호가창에 도달하기 전 Phantom이나 Backpack이 SOL 획득 단계를 처리하도록 의존했습니다. 이들 각각은 개별적으로 작동했지만 서로 호환되지는 않았습니다. Pump.fun의 흐름을 통해 온보딩된 사용자가 수수료를 지불할 수 있는 잔액을 가진 상태로 Tensor에 도착하는 것은 아니었습니다.

그동안 Base는 Coinbase Smart Wallet의 패스키(passkey) 흐름, Coinbase Developer Platform을 통한 무료 가스 대납, 그리고 이메일 로그인 뒤에 개인 키의 개념 전체를 숨기는 개발자 SDK를 출시했습니다. Abstract는 웹2 앱처럼 느껴지는 임베디드 지갑으로 같은 아이디어를 더 발전시켰습니다. 2025년 소비자 앱 개발자에게 전달된 결합된 메시지는 이렇습니다. "Base에서 빌드하세요. 사용자들은 자신이 온체인에 있다는 사실조차 모를 것이며, 여러분이 확장하는 동안 우리가 수수료를 지불하겠습니다."

Kora는 그 메시지를 그대로 복제하는 것이 아닙니다. Kora가 하는 일은 솔라나 dApp이 동일한 메시지를 던지지 못하게 만들었던 아키텍처적 원인을 제거하는 것입니다. 이제 Kora를 통해 솔라나 팀은 다음을 제공할 수 있습니다:

• Privy, Turnkey 또는 Coinbase Embedded Wallets를 통한 이메일 또는 패스키 가입.
• 트랜잭션에 SOL 잔액이 전혀 필요 없음.
• USDC, BONK 또는 dApp의 네이티브 토큰(있는 경우)으로 수수료 지불.
• 경로에 번들러가 없는 1초 미만의 파이널리티.

구성 요소들은 이전에도 존재했습니다. Octane은 오픈 소스 조상격이었고, Circle의 Gas Station, Openfort, Portal, Gelato, Biconomy 및 기타 여러 벤더가 수수료 릴레이 서비스를 제공했습니다. Kora가 바꾸는 점은 이제 솔라나 재단이 직접 표준화되고 감사를 마친 KMS 호환 레퍼런스 구현체를 출시한다는 것입니다. 이를 통해 이전까지 자체적으로 구축하거나 벤더 비용을 지불해야 했던 모든 팀의 의사 결정 과정에서 "어떤 제3자 페이마스터를 신뢰해야 하는가"라는 고민이 사라지게 됩니다.

Kora 상위의 벤더 레이어​

흥미로운 점은 Kora가 메운 간극을 중심으로 이미 구축된 임베디드 지갑 벤더들에게 어떤 일이 일어나는가 하는 점입니다.

2025년 6월 Stripe에 인수된 Privy는 이메일 로그인을 원하는 Solana dApp들이 선호하는 컨슈머 앱 지갑이었습니다. Solana는 공식적으로 Privy의 보조 체인이며(주요 깊이는 EVM에 있음), 임베디드 지갑 흐름은 Solana까지 확장되며 Privy는 이미 앱이 관리하는 수수료 지불자(fee payer) 지갑 설정을 지원합니다. Kora는 Privy를 대체하는 것이 아니라, 각 고객이 자체 페이마스터 서비스를 운영하는 대신 Privy가 연결할 수 있는 표준화된 백엔드를 제공합니다.

Turnkey는 Kora의 원격 서명 API와 자연스럽게 어울리는 보안 우선 임베디드 서명기(signer)입니다. Turnkey는 페이마스터 인프라를 명시적으로 포함하지 않으므로, 하드웨어 격리 키와 가스리스 UX를 원하는 Solana 팀들은 두 벤더를 억지로 결합해야 했습니다. Kora는 이러한 통합의 번거로움을 없애줍니다.

2025년 Fireblocks에 인수된 Dynamic은 기관 팀에 멀티체인 인증을 제공합니다. Fireblocks의 지원을 받는 포지셔닝 덕분에 Dynamic은 기업 수준의 규정 준수와 함께 Solana 및 EVM 지원이 모두 필요한 핀테크 기업들에게 자연스러운 선택지가 됩니다. Kora는 Dynamic에 Fireblocks가 경쟁 페이마스터를 출시할 필요가 없는 깔끔한 Solana 수수료 추상화 모델을 제공합니다.

Coinbase Developer Platform은 다소 애매한 위치에 있습니다. Coinbase는 Coinbase Smart Wallet, 무료 Base 가스비, 임베디드 지갑 SDK를 통해 Base를 기본 컨슈머 체인으로 만드는 데 집중 투자해 왔습니다. Kora는 특히 Solana가 이미 규모의 경제 우위를 점하고 있는 USDC 네이티브 흐름을 원하는 앱들에게 Base가 내세우던 차별화 요소를 좁힙니다.

가능성 높은 결과는 Kora가 페이마스터 서비스를 직접 운영하고 싶지 않은 모든 임베디드 지갑 벤더의 기본 Solana 백엔드가 되는 것입니다. 벤더들은 인증 UX, 키 관리, 정책 제어 분야에서 경쟁하고, Kora는 그 아래에서 수수료 릴레이를 처리합니다. 이는 모든 컨슈머 Solana dApp이 독립적으로 벤더를 결정하고 각 후보의 자체 제작 릴레이어 보안을 평가해야 했던 이전 상태보다 생태계 전체에 더 건전한 방식입니다.

이것이 해결하는 문제와 해결하지 못하는 문제​

Kora는 특정 간극을 확실히 메우지만 다른 여러 문제는 해결하지 않은 채로 둡니다. 각각을 정확히 구분할 필요가 있습니다.

Kora가 해결하는 문제:

• 다른 토큰으로 수수료를 보조하려는 dApp에 있어 "사용자가 반드시 SOL을 보유해야 함"이라는 UX 장벽을 제거합니다.
• 운영 부담과 벤더 종속(lock-in) 사이에서 고민해야 했던 팀들의 "페이마스터 직접 구축 vs 구매" 결정을 해결합니다.
• 감사(audit) 및 KMS 지원을 통해 규제 대상 기관이 직접 솔루션을 구축하지 않고도 Kora 노드를 운영할 수 있게 함으로써 기관의 수용 가능성 격차를 해소합니다.

Kora가 해결하지 못하는 문제:

• 지갑 획득 자체 — 사용자는 여전히 Phantom, Privy, Turnkey, Coinbase 등 어딘가에서 임베디드 지갑을 가져와야 합니다.
• 배치 호출(batched calls) 및 세션 키와 같은 계정 추상화 프리미티브 — 이들은 여전히 PDA 및 기타 프로그램 수준 패턴을 통해 Solana에서 별도로 조립되고 있습니다.
• Kora 운영자가 선지불하는 SOL 비용을 누가 지불할 것인가라는 경제적 문제. 토큰 수익이나 스테이블코인 유동성이 있는 dApp의 경우 이는 괜찮지만, 무료 제품의 경우 가스비 후원은 단순한 고객 획득 비용(CAC)입니다.
• 크로스체인 UX — 사용자는 여전히 LayerZero, Wormhole, Across와 같은 브릿지나 체인 추상화 레이어와 상호작용해야 합니다.

"프로토콜 프리미티브로서의 가스리스 인프라"라는 논제는 양날의 검입니다. 이제 Solana는 주요 체인 중 가장 깔끔한 네이티브 수수료 추상화 모델을 갖게 되었습니다. 이는 차별화 요소가 지갑 UX, 복구 흐름, 그리고 EVM이 수년간 앞서나간 계정 추상화 기능과 같은 상위 스택으로 이동함을 의미합니다.

빌더를 위한 전략적 해석​

2026년 중반에 체인을 선택하는 팀에게 계산법이 바뀌었습니다. 12개월 전만 해도 컨슈머 온보딩에 대한 답은 Base, Abstract 또는 새로운 EVM 컨슈머 체인 중 하나였습니다. Solana는 개발자들의 관심과 인프라 모멘텀은 있었지만, SOL 획득 단계에서 일반 사용자들을 놓쳤습니다. 이제는 더 이상 그렇지 않습니다.

오늘 Solana에서 프론트엔드에 Privy나 Turnkey를, 백엔드에 Kora를 사용하여 출시하는 컨슈머 dApp은 기능적으로 Base의 동일한 스택과 동일한 UX 환경을 갖습니다. 이메일 로그인, 가스리스 트랜잭션, USDC 수수료 지불, 1초 미만의 완결성. 남은 차이점은 런타임 모델, 툴링 생태계, 그리고 가용 유동성뿐입니다. Solana의 처리량과 DEX 깊이를 원하는 앱에 있어 EVM을 선택해야 할 UX 측면의 논거는 상당히 약해졌습니다.

이미 Base에서 서비스를 운영 중인 팀들에게 Kora가 즉각적인 결정을 바꾸지는 않습니다. 하지만 장기적인 경쟁 압력은 변화시킵니다. 새로운 인프라 덕분에 통합에 대한 걱정이 줄어들어 가장 깔끔한 UX를 가진 컨슈머 dApp들이 Solana에서 나타나기 시작한다면, Base의 컨슈머 온보딩 해자를 중심으로 형성된 중력은 이동하기 시작할 것입니다.

솔직하게 평가하자면 Kora는 필요조건이지 충분조건은 아닙니다. 개발자들이 컨슈머 앱을 위해 Solana를 선택하지 않았던 특정 이유를 제거할 뿐입니다. Kora 자체가 Solana를 선택해야 할 새로운 이유를 만들어내지는 않습니다. 앞으로 두 분기 동안 임베디드 지갑 벤더들이 실제로 Kora를 기본값으로 채택하는지, 새로운 컨슈머 dApp들이 체인 선택의 이유로 Kora를 언급하는지, 그리고 기존 EVM 컨슈머 체인들이 자체 인프라를 개선하며 대응하는지 지켜봐야 할 것입니다.

어느 쪽이든, "거래 전 사용자가 SOL을 반드시 획득해야 함"은 이제 현재의 문제가 아니라 과거의 유산이 되었습니다. 그것만으로도 출시할 가치가 충분합니다.

---

BlockEden.xyz는 컨슈머 dApp, 결제망, 트레이딩 시스템을 구축하는 팀들을 위해 프로덕션 등급의 Solana RPC 인프라를 운영합니다. 가스리스 흐름을 통합하거나 Solana 제품을 확장하고 있다면, 차세대 컨슈머 크립토를 위해 설계된 저지연 엔드포인트를 저희 API 마켓플레이스에서 확인해 보세요.

출처​

• GitHub: solana-foundation/kora
• Kora — 다시는 'SOL 부족'으로 사용자를 잃지 마세요
• Kora를 사용하여 Solana에서 가스비 없는 트랜잭션을 활성화하는 방법 — QuickNode
• Solana Foundation, Kora 출시 — Metaverse Post
• Kora 수수료 릴레이어, Solana 앱 온보딩 및 수수료 지원 — Cryptonomist
• 수수료 대납 (Fee Sponsorship) — Solana Cookbook
• Solana에서 ERC-4337이란 무엇인가? — Solana Developers
• 계정 추상화 (Account Abstraction): Ethereum vs Solana 비교 — Squads
• Circle의 Gas Station이 Solana에서 수수료 지불자 (Fee Payer)를 사용하는 방법
• Solana 트랜잭션 대납 — Privy Docs
• 2026년 개발자를 위한 최고의 Solana 지갑 — Openfort
• Coinbase Smart Wallet — 지갑의 현황 Part 2
• Anza, 2026년 Solana의 주요 개발 계획 발표 — Phemex

자율적인 온체인 에이전트가 물리적 로봇에게 커피잔을 들라고 처음으로 비용을 지불했을 때, 그 과정에 인간은 개입하지 않았습니다. 구매 주문서도, 인송장도, 은행 송금도 없었습니다. 오직 스마트 컨트랙트, x402 소액 결제, 그리고 자금이 정산되자 명령에 따르는 휴머노이드 팔만이 있었을 뿐입니다. 조용하고 축하받지 못한 그 순간은 AI 에이전트 담론이 2년 동안 핵심 지지대로 여겨왔던 경계, 즉 토큰을 거래하는 디지털 에이전트와 원자를 이동시키는 물리적 기계 사이의 벽이 허물어졌음을 의미했습니다.

Virtuals Protocol의 2026년 1분기 BitRobot Network 통합은 이 벽을 대규모로 해체한 최초의 상용 시스템입니다. 17,000개 이상의 온체인 AI 에이전트를 Solana 기반의 로봇 인프라 서브넷에 연결함으로써, Virtuals는 2018년 OpenAI의 로봇 시연 이후 구체화된 AI (Embodied AI) 가설이 끊임없이 시도해 왔지만 결코 이루지 못했던 일을 해냈습니다. 바로 소프트웨어 에이전트에게 창고, 보도, 커피숍까지 뻗어 나가는 지갑, 신원, 작업 큐를 부여한 것입니다. 그 영향력은 2025년 44억 4천만 달러 규모의 구체화된 AI 시장에서 2030년 예상치인 230억 달러를 향해 달려가고 있으며, "에이전트 상거래 (agentic commerce)"의 진정한 의미를 재정립하고 있습니다.

디지털 거래에서 물리적 작업으로​

2024년과 2025년 대부분의 기간 동안 AI 에이전트 토큰은 엄격하게 제한된 샌드박스 안에서 존재했습니다. Virtuals, ai16z 및 유사한 플랫폼의 에이전트들은 소셜 미디어에 게시물을 올리고, 밈코인을 거래하며, DeFi 전략을 실행하고, 가끔 서로를 웃기기도 했습니다. 비평가들은 이것이 체인 상에만 존재하는 것들에 대해 에이전트끼리 거래하는 폐쇄 회로라고 정확히 지적했습니다. 선적 팔레트, 배송 트럭, 고장 난 HVAC 장치가 있는 실제 경제는 손도 대지 못한 상태였습니다.

BitRobot은 이 회로의 위상을 바꿉니다. Solana Ventures, Virtuals Protocol 및 Solana 공동 창립자인 Anatoly Yakovenko와 Raj Gokal이 지원한 800만 달러 규모의 시드 라운드 이후 FrodoBots Lab과 Protocol Labs가 공동 개발한 BitRobot은 서브넷의 집합체로 구성되어 있습니다. 각 서브넷은 내비게이션 데이터, 조작 기술, 시뮬레이션 환경 또는 모델 평가와 같이 구체화된 AI에 필요한 하나의 전문화된 결과물을 기여합니다. SeeSaw라고 불리는 서브넷 5는 파트너십 제품으로 Virtuals와 함께 직접 출시되었습니다. 사용자는 신발 끈 묶기나 빨래 개기와 같은 일상적인 작업의 짧은 비디오를 녹화하여 업로드하고 토큰 보상을 받으며, 이 데이터는 차세대 로봇 정책 모델을 훈련하는 데 사용됩니다.

수치는 채택 현황을 가감 없이 보여줍니다. SeeSaw는 2025년 10월 iOS 출시 이후 이미 500,000건 이상의 완료된 작업을 기록했습니다. 물리적 기계를 실제로 구동한 최초의 온체인 에이전트인 SAM은 휴머노이드 로봇을 24시간 가동하며 그 관찰 내용을 X에 게시하고 있습니다. 이 모든 것은 여러분이 에이전트 경제를 종교처럼 믿을 것을 요구하지 않습니다. 단지 데이터를 받아들이기만 하면 됩니다. 기계가 제어하는 행동이 이제 스마트 컨트랙트에 의해 시작되고, 토큰으로 지불되며, 온체인 평가자에 의해 검증되고 있다는 사실 말입니다.

3계층 표준 스택​

Virtuals + BitRobot 통합이 일회성 데모 이상의 가치를 갖는 이유는 그 아래에서 진행되고 있는 표준화 작업 때문입니다. 2026년 초, 에이전트와 기계 간의 상거래를 장인적 수작업이 아닌 조합 가능한 (composable) 방식으로 만들기 위해 세 가지 Ethereum 및 HTTP 레벨 프로토콜이 등장했습니다.

• x402는 에이전트가 API 호출과 동시에 소액 결제를 정산할 수 있게 해주는 HTTP 결제 표준입니다. 오랫동안 휴면 상태였던 HTTP 402 상태 코드를 기반으로 구축된 이 프로토콜은 운영 첫 달 만에 약 6억 달러의 AI 소액 결제를 처리했으며, Google Cloud와 AWS는 이를 에이전트 기반 추론을 위한 과금 기본 단위 (primitive)로 채택했습니다.
• ERC-8004는 AI 에이전트를 위한 Ethereum 신원 및 평판 표준입니다. 이는 계약을 체결하기 전 모든 상대방이 알고 싶어 하는 질문에 답합니다. "이 에이전트는 누구인가, 과거 실적은 어떠한가, 비즈니스를 수행할 만큼 신뢰할 수 있는가?"
• ERC-8183은 Ethereum Foundation의 dAI 팀과 Virtuals Protocol이 2026년 3월 10일에 공동 출시한 상업용 계층입니다. 이는 클라이언트가 자금을 예치하고, 공급자가 작업을 실행하며, 에스크로가 해제되기 전 평가자가 완료 여부를 확인하는 작업 에스크로 기본 단위를 도입합니다.

이를 요약하면 다음과 같습니다. x402는 "결제 방법"을, ERC-8004는 "누구에게 지불하는지"를, ERC-8183은 "청소 로봇이 바닥에 얼룩을 남겼을 때 분쟁을 해결하는 방법"을 규정합니다. 이들은 법원, 신용카드 또는 지불 거절 (chargeback)에 의존할 수 없는 당사자들을 위해 설계된 인터넷 네이티브 상거래 스택을 형성합니다. 구체화된 AI에게 이 스택은 사치가 아닙니다. 이는 유일하게 사용 가능한 기반입니다. 왜냐하면 법적 계약은 40개 관할 구역에 흩어져 있는 토큰 보유자들이 관리하는 또 다른 소프트웨어 에이전트가 소유한 소프트웨어 에이전트인 거래 상대방을 수용하기 어렵기 때문입니다.

왜 로봇에는 Solana를, 상거래에는 Ethereum을 사용하는가​

Virtuals + BitRobot 통합은 설계 의도를 드러내는 방식으로 조용하게 멀티 체인을 활용하고 있습니다. BitRobot이 Solana에 상주하는 이유는 로봇 데이터 수집이 높은 처리량과 낮은 마진을 요구하는 활동이기 때문입니다. 기여자에게 비디오 클립당 1센트 미만을 지불하려면 Ethereum L1이 제공할 수 없는 수준의 수수료 경제성이 필요합니다. Base에서 시작하여 Arbitrum에서 활동하는 Virtuals는 기관 유동성과 대부분의 에이전트 상거래 표준이 존재하는 곳에 자리 잡고 있습니다. 이 통합은 물리적 세계의 데이터 계층에는 Solana를, 상거래 계층에는 Ethereum 정렬 체인을 사용합니다.

이는 2024년 스테이블코인 결제를 중심으로 고착화된 패턴과 동일합니다. 저렴하고 빈번한 거래에는 Tron과 Solana를, 고가치 및 저빈도의 정산에는 Ethereum을 사용하는 방식입니다. 기계 경제는 이러한 분업화를 무너뜨리기보다는 오히려 상속받고 있는 것으로 보입니다. 구체화된 AI를 위해 단일 체인의 승자에 배팅하는 사람은 실망할 가능성이 높습니다. 왜냐하면 작업 부하가 자연스럽게 이중 모드 (bimodal)를 띠기 때문입니다.

임바디드 AI 접근 방식 비교​

Virtuals + BitRobot 모델은 2026년 임바디드 AI (Embodied AI)를 상용화하려는 유일한 시도가 아니며, 다음과 같은 대안들과 비교해 볼 가치가 있습니다:

• Figure AI는 창고 및 제조 고객을 위한 중앙 집중식 휴머노이드 로봇을 구축하기 위해 10억 달러 이상의 자금을 조달했습니다. Figure의 경제 모델은 고전적인 자본 장비 리스 방식입니다. 고객은 로봇 작동 시간당 월 요금을 지불합니다. 여기에는 토큰도, 허가 없는 기여 기반도 없으며, Figure의 영업 팀을 거치지 않고서는 제3자 개발자가 로봇을 확장하거나 전문화할 수 있는 메커니즘이 없습니다.
• Tesla Optimus는 가장 깊은 의미에서 기업에 의해 통제됩니다. 로봇, 훈련 데이터, 정책 모델 및 배포 결정이 모두 한 회사 내에 존재합니다. Optimus는 인상적인 엔지니어링 결과물이지만, 개방형 경제 프로토콜과는 완전히 분리되어 있습니다.
• OpenMind는 팀이 "로보틱스를 위한 안드로이드"라고 부르는 것, 즉 모든 로봇 제조업체가 공유 운영 체제를 실행할 수 있는 오픈 플랫폼 계층을 추구하고 있습니다. 그 철학은 BitRobot과 겹치지만, OpenMind는 하드웨어 OEM들이 여전히 토큰 기반 인센티브에 불편함을 느낀다고 판단하여 지금까지 암호화폐 레일을 명시적으로 피해 왔습니다.
• peaq Network는 철학적으로 가장 가까운 사촌입니다. peaq의 레이어 1은 신원이 확인된 330만 대 이상의 기기를 온보딩했으며, 60개의 DePIN 애플리케이션에서 2억 건 이상의 트랜잭션을 처리하여 스스로를 머신 경제의 기초 체인으로 포지셔닝했습니다. 차이점은 peaq가 바텀업 (bottom-up) 인프라인 반면, Virtuals + BitRobot은 기존 에이전트 경제와 기존 로보틱스 데이터셋을 결합한 탑다운 (top-down) 구성이라는 점입니다.

진짜 문제는 어떤 접근 방식이 승리하느냐가 아닙니다. 개방형, 멀티체인, 토큰 인센티브 모델이 중앙 집중식 대안들이 승자 독식 네트워크 효과를 굳히기 전에 데이터 수집 및 에이전트 배포에서 충분한 속도를 낼 수 있느냐는 것입니다.

시장의 수치​

Research and Markets에 따르면, 임바디드 AI 시장은 2025년에 약 44억 4천만 달러 규모로 평가되었으며, 2030년까지 연평균 성장률 (CAGR) 39%를 기록하며 230억 달러에 도달할 것으로 예상됩니다. 더 넓은 로봇 기술 시장은 2025년에 1,080억 달러 규모이며, 15%의 CAGR로 2034년까지 3,760억 달러에 달할 전망입니다. 이들은 암호화폐 네이티브 시장은 아니지만, 암호화폐 네이티브 인프라가 이제 조율을 주장하는 공략 가능한 영역입니다.

여기에 약 520억 달러의 합산 시가총액을 형성하고 있는 AI - 암호화폐 섹터 자체를 더해 보십시오. Virtuals는 이 중 가장 큰 서브 프로토콜 중 하나입니다. Virtuals는 2025년 말 월간 거래량 132억 3천만 달러를 처리했으며, 200만 건 이상의 자율 트랜잭션을 처리한 Ethy AI와 같은 에이전트를 구동합니다. 자본은 집중되어 있고, 에이전트 인벤토리는 실제 존재하며, 물리적 기계로의 브릿지도 이제 활성화되었습니다. 남은 문제는 230억 달러의 임바디드 AI 전체 시장 규모 (TAM) 중 어느 정도가 전통적인 조달 계약 대신 토큰 기반 레일을 통해 흐르게 될 것인가입니다.

낙관적인 시나리오는 충분히 자율적인 로봇 플릿이 모든 트랜잭션마다 인간의 승인 없이 작동하는 결제 레이어를 필요로 할 것이며, 이러한 요구 사항은 ACH 이체보다는 스테이블코인 및 토큰 레일에 깔끔하게 부합한다는 점입니다. 비관적인 시나리오는 기업 고객이 SOC 2 준수, KYC 상대방, 그리고 암호화폐 네이티브 시스템이 쉽게 제공할 수 없는 전통적인 계약 구제 수단을 요구함으로써, 에이전트가 내부적으로 무엇을 하든 임바디드 AI 시장을 지루한 중앙 집중식 조달 방식으로 밀어 넣을 것이라는 점입니다.

빌더에게 주는 의미​

개발자와 인프라 제공업체에게 Virtuals + BitRobot 통합은 추적할 가치가 있는 몇 가지 구체적인 기회를 창출합니다:

• 데이터 라벨링 및 기여 시장이 더 이상 가설에 머물지 않습니다. SeeSaw의 500,000개 작업은 보상이 유동성 토큰으로 지급될 때 일반 사용자들이 로봇 훈련에 참여할 것임을 시사합니다. 이는 AI 훈련 데이터를 위한 작동 가능한 규모의 DePIN 플라이휠에 가장 가까운 형태입니다.
• **에이전트 평판 서비스 (Agent reputation as a service)**가 ERC-8004를 사용하는 이해 관계자가 생기는 즉시 실제 제품 카테고리가 됩니다. 가동 시간, 분쟁 이력, 성공적인 작업 완료를 증명할 수 있는 에이전트는 더 높은 요율을 요구하고 더 높은 가치의 에스크로 작업에 접근할 수 있게 됩니다.
• 멀티체인 추상화가 더욱 중요해집니다. Solana 데이터 레이어를 Ethereum 상거래 레이어와 Base 에이전트 생성 환경에 연결해야 하는 빌더들에게는 연결 부위를 숨겨주는 인프라가 필요합니다. 이러한 체인 전반에 걸친 신뢰할 수 있는 RPC, 일관된 인덱싱, 통합 API 액세스는 작동하는 에이전트와 유휴 상태인 에이전트를 가르는 차이가 됩니다.

마무리 프레임​

Virtuals + BitRobot 통합은 아직 완전히 변혁된 경제는 아닙니다. 그것은 작동하는 프로토타입입니다. 물리적 로봇을 관리하는 17,000개의 에이전트는 수백만 건이 아닌 하루 수천 건의 트랜잭션 속도로 움직이고 있으며, 사용 사례는 미션 크리티컬한 산업 자동화보다는 훈련 데이터 수집에 치우쳐 있습니다. 회의론자들은 SAM이 관심을 끌기 위해 휴머노이드를 운전하는 것과 물류 회사와 계약을 협상하는 자율 창고 로봇 플릿 사이의 격차가 거대하다는 점을 공정하게 지적할 것입니다.

하지만 가장 중요한 경계선은 이미 넘었습니다. 온체인 신원, 온체인 결제, 온체인 분쟁 해결이 이제 물리적 액추에이터로 확장되었습니다. 지금부터 2030년 사이에 임바디드 AI 시장이 어떻게 변하든, 그 중 상당 부분은 SAP보다는 Virtuals + BitRobot과 더 유사한 레일 위에서 실행될 것입니다. 향후 18개월 동안의 과제는 어떤 서브넷, 어떤 표준, 어떤 체인이 가장 유용한 작업 부하를 먼저 확보하느냐 하는 것입니다.

BlockEden.xyz는 AI 에이전트 및 머신 경제 스택을 구동하는 Solana, Base, Ethereum 및 기타 체인 전반에 걸쳐 엔터프라이즈급 RPC 및 인덱싱 인프라를 제공합니다. 멀티체인 시대를 위해 설계된 인프라에서 에이전트 기반 애플리케이션을 구축하려면 저희의 API 마켓플레이스를 살펴보세요.

출처​

• Virtuals Protocol 2026년 예측 : AI 에이전트 및 로봇 공학이 2 ~ 3달러를 향해 나아갑니다 — Bitget News
• SN / 05 출시 : Virtuals / BitRobot의 SeeSaw — BitRobot.ai
• FrodoBots Lab, BitRobot 출시를 위해 800만 달러 투자 유치 — The Defiant
• Frodobots, 솔라나 기반 로봇 네트워크를 위해 600만 달러 투자 유치 — Blockworks
• 로봇 AI : 블록체인의 획기적인 AI 활용 사례일까요? — Solana.com
• BitRobot과 구체화된 AI (Embodied AI) 의 미래 — Protocol Labs
• 이더리움 재단 및 Virtuals Protocol, ERC-8183 출시 — KuCoin
• x402 및 ERC-8004 : 에이전틱 웹에서 AI 에이전트가 결제하는 방법 — ChainUp AD
• ERC-8183이란 무엇인가요? AI 에이전트를 위한 새로운 커머스 레이어 — QuickNode
• 구체화된 AI (Embodied AI) 시장 보고서 2026 — Research and Markets
• 구체화된 AI (Embodied AI) 시장 보고서 2025-2030 — MarketsandMarkets
• 기계 경제의 부상 : 2026년의 peaq — Medium
• 작동 중인 로봇 공학, Virtuals의 로봇 컨셉 프로젝트 살펴보기 — WEEX Crypto
• 로봇 머니 | 퍼플 페이퍼 — peaq

2026 년 1 월, 솔라나 (Solana) 의 단일 DEX 는 대부분의 상위 20 위권 중앙화 거래소 (CEX) 보다 더 많은 일일 거래량을 처리했습니다.

몇 주 후, SEC 와 CFTC 의장이 함께 무대에 올라 규제 권한 분쟁을 중단하겠다는 양해각서 (MOU) 에 서명했습니다. 그리고 그사이 어딘가에서 DEX 대 CEX 현물 거래량 비율은 누구도 넘지 못할 것이라 믿었던 선을 조용히 넘어섰습니다.

암호화폐 역사의 대부분 동안 "DEX vs. CEX" 는 항상 같은 결론으로 끝나는 사고 실험이었습니다. CEX 가 유동성을 소유하고, 개인 투자자는 깔끔한 앱을 원하며, 기관은 법정화폐 게이트웨이 (fiat rails) 를 요구한다는 것이었습니다. DeFi 는 이념가들의 전유물이었습니다. 2026 년, 이 논쟁은 더 이상 학문적인 수준에 머물지 않습니다. 중앙화 거래소의 구조적 해체가 진행 중이며, 이는 체인 추상화 지갑 (chain-abstracted wallets), 인텐트 기반 실행 (intent-based execution), 그리고 중견 CEX 와 대등한 온체인 유동성 깊이라는 세 가지 동력이 동시에 맞물리면서 가속화되고 있습니다.

개인 투자자들은 2026년 1분기에 약 62,000 BTC를 매도했습니다. 반면 기업, 기부금 펀드 및 연금 관련 기관들은 약 69,000 BTC를 매수했습니다. 패닉에 빠진 매도자와 인내심 있는 매수자 간의 이러한 단순한 교환은 이제 1분기 13F 공시를 통해 기록으로 남게 되었습니다. 이는 2025년 10월 사상 최고가인 126,296 달러에서 47% 하락하는 동안 크립토 트위터(Crypto Twitter)가 스스로에게 들려주던 서사와는 전혀 다른 모습입니다.

헤드라인은 자명합니다. 하버드 대학 기부금 펀드는 블랙록(BlackRock)의 IBIT 지분을 257% 늘렸으며, 이로써 비트코인 현물 ETF는 4억 4,280만 달러 규모로 이 펀드가 공개한 최대 보유 자산이 되었습니다. 골드만삭스(Goldman Sachs)는 6개의 개별 솔라나 현물 ETF 상품에 걸쳐 1억 800만 달러를 분산 투자했다고 밝혔습니다. 5,060억 달러 규모의 캘리포니아 공무원 연금(CalPERS)은 스트래티지(Strategy, 구 마이크로스트래티지) 주식 1억 6,590만 달러어치를 보유하고 있으며, 이사회 차원에서 직접적인 비트코인 노출을 활발히 논의 중입니다. 또한 2026년 1분기에는 비트코인 현물 가격이 9만 달러대에서 6만 달러대로 하락했음에도 불구하고 비트코인 현물 ETF에 역대 최고치인 187억 달러가 유입되었습니다.

Nothing CMF Phone 1 에 USB 케이블을 꽂습니다. 45초를 기다립니다. 기기에 있는 모든 핫 월렛의 시드 구문을 가지고 유유히 떠납니다.

이것은 이론적인 위협 모델이 아닙니다. 2026년 3월 11일, Ledger 의 Donjon 연구팀이 발표한 실시간 시연 내용입니다. 대상은 MediaTek 의 Dimensity 7300 (MT6878) — 전 세계 안드로이드 폰의 약 4분의 1 에 탑재된 4nm 시스템 온 칩 (SoC) 이자 Solana 의 플래그십 핸드셋인 Seeker 가 구축된 바로 그 실리콘입니다. 이 결함은 안드로이드가 로드되기도 전에 실행되는 읽기 전용 코드인 칩의 부트 ROM 에 존재합니다. 패치할 수 없으며, OS 업데이트로 완화할 수도 없습니다. 유일한 해결책은 새로운 칩뿐입니다.

스마트폰을 크립토 월렛으로 신뢰하는 수천만 명의 사용자들에게, 이 순간은 "모바일 우선 셀프 커스터디" 라는 내러티브가 실리콘의 물리적 법칙과 충돌한 순간입니다.