탈중앙화 금융(DeFi) 프로토콜은 2025년 4월 15건의 해킹 사건에서 9,250만 달러의 손실을 입었습니다. 블록체인 보안 회사 Immunefi의 최신 월간 보고서에 따르면, 이는 2024년 4월과 비교하여 연간 27.3% 증가하며, 2025년 3월의 4,140만 달러 손실을 두 배 이상 초과하는 수치입니다.
이런 문제점은 보안 전문가들 사이에서 DeFi의 기술적 기반이 여전히 위험하게 취약하다는 점에 대한 증거로 작용하고 있습니다. 4월의 통계는 더욱 우려스러운 통계를 보여줍니다. 2025년 해킹 및 악용에 의한 암호화폐 총 손실은 이미 17억 4천만 달러에 달하며, 2024년 전체 연간 총액인 14억 9천만 달러를 단 4개월 만에 초과했습니다.
"우리는 단순한 일시적인 급등이 아니라 탈중앙 프로토콜의 설계, 배포 및 유지보수 방식에서 근본적인 보안 위기를 목격하고 있습니다," 라고 체인시큐리티의 수석 연구원인 마리아 첸이 설명합니다. "업계는 전통적 금융 시스템과 같은 엄격한 감사를 받지 않는 코드로 점점 복잡한 금융 인프라를 구축하고 있습니다."
4월의 해킹은 주로 확립된 블록체인 네트워크를 목표로 했으며, 공격의 100%가 기술적 악용으로 분류되었으며, 소셜 엔지니어링이나 사기 기반의 공격이 아니었습니다. 문서화된 15건의 사건 중 몇 가지는 규모와 복잡한 공격 벡터로 주목받았습니다:
UPCX 프로토콜: 7000만 달러
이달의 가장 큰 위반은 2024년 말 첫 출시 이래로 3억 달러 이상의 전체 가치 잠금(TVL)을 축적한 크로스 체인 결제 프로토콜 UPCX에 영향을 미쳤습니다. 4월 12일, 공격자들은 프로토콜의 크로스 체인 메시지 검증 메커니즘의 치명적인 취약점을 발견했습니다.
체인어낼리시스의 초기 포렌식 분석에 따르면, 이 공격은 UPCX가 서로 다른 EVM 호환 체인 간에 트랜잭션 서명을 검증하는 방식의 미묘한 결함을 이용했습니다. 공격자들은 높은 네트워크 혼잡 기간 동안 정밀 공격을 실행했으며, 검증 단계를 우회하여 여러 유동성 풀에서 동시 인출을 승인하는 불법 인출을 수행했습니다.
"UPCX 공격은 크로스 체인 브릿지가 생태계에서 가장 취약한 인프라 중 하나로 계속 남아 있음을 보여줍니다," 라고 옵티미즘 시큐리티 랩스의 설립자인 토마스 웰튼-포콕이 지적했습니다. "이미 2022년의 웜홀과 로닌 해킹 사례를 포함한 다수의 브릿지 악용 사례가 있었음에도 불구하고, 프로젝트들은 여전히 안전한 크로스 체인 메시징의 복잡성을 과소평가하고 있습니다."
UPCX는 이후 사용 피해자들을 위한 보상 계획을 발표했지만, 조사가 계속 진행 중이기 때문에 자세한 사항은 아직 공개되지 않았습니다.
KiloEx: 750만 달러
옵션 거래에 주력하는 탈중앙화 거래소인 KiloEx는 4월 19일 가격 오라클 조작 공격을 통해 750만 달러를 잃었습니다. 공격자는 KiloEx의 참조 시장 중 하나의 일시적인 유동성 감소를 이용해 KETH/ETH 옵션 계약의 인식 가격에 변화를 주었습니다.
먼저 여러 장소에서 조정 거래를 통해 오라클 가격을 인위적으로 낮춘 다음, KiloEx의 자동 청산 메커니즘을 악용하여 오라클 가격이 회복되기 전에 크게 할인된 옵션 계약을 매입했습니다.
"오라클 공격은 점점 체계화되고 있다,"고 Paradigm의 존경받는 보안 연구자 Samczsun이 관찰합니다. "오늘날의 공격자들은 시장 미세 구조를 이해하고, 개별 시스템의 규칙을 기술적으로 위반하지 않으면서도 상호 연결된 프로토콜 사이에서 착취할 수 있는 차익 기회를 만들어냅니다."
다른 주요 사건들
다른 4월의 악용 사례들은 총 1,500만 달러의 손실을 가져왔습니다:
- Loopscale: 대출 계약의 재진입 취약점을 악용하여 580만 달러 손실
- ZKsync: 제로 지식 증명 검증 회로의 결함을 통해 500만 달러 소진
- Term Labs: 스마트 계약 상호 작용에서 확인되지 않은 반환값을 통해 150만 달러 도난
- Bitcoin Mission: 라핑된 BTC가 부적절한 액세스 제어를 통해 130만 달러 탈취
- The Roar: 플래시 대출 조작을 통해 79만 달러 손실
- Impermax: 보상 계산에서 정밀도 반올림 오류로 15만 2천 달러 소진
- Zora: 메타데이터 조작을 통해 NFT 자산 14만 달러 손실
- ACB: 초기화 기능의 보호되지 않은 상태로 8만 4천 달러 손실
여전히 주요 타겟인 이더리움
블록체인 네트워크 전반에 걸쳐 공격이 분포되어 있지만, 확립된 생태계에도 취약성이 지속되고 있습니다. 이더리움은 전체의 33.3%를 차지하는 다섯 건의 사고로 여전히 주요 타겟으로 남아 있으며, BNB 체인은 네 건의 공격(26.7%)을 받았습니다. 베이스, Coinbase의 레이어-2 솔루션은 중대한 악용 세 건(20%)을 받았으며, 이는 비교적 새로운 네트워크에 대한 우려를 나타냅니다.
"공격자들은 자금이 있는 곳으로 가지만, 착취 가능한 통합 포인트가 있는 네트워크를 우선시합니다," MIT의 암호학 교수인 Jenna Rodriguez 박사는 설명합니다. "이더리움의 지배적인 TVL은 그 자체로 영원한 타겟이며, Layer-2 네트워크인 Base도 전투 테스트되지 않은 신기술을 구현하고 있기 때문에 증가하는 관심을 받고 있습니다."
나머지 사건들은 Arbitrum, Solana, Sonic, 그리고 ZKsync에 영향을 미쳤으며, 어떤 블록체인 생태계도 보안 침해에 면역이 아니라는 것을 나타냅니다. Solana의 한 건의 사건은 이전 년도 동안 다수의 고프로파일 악용 사례를 겪었던 네트워크가 꽤 개선되었음을 보여줍니다.
역사적 배경
4월의 수치의 심각성을 완전히 이해하려면, 역사적 배경이 필수적입니다. Chainalysis와 CipherTrace의 데이터에 따르면, 해킹으로 인한 연간 암호화폐 손실은 우려스러운 흐름을 따랐습니다:
- 2019년: 3억 7천만 달러
- 2020년: 5억 2천만 달러
- 2021년: 32억 달러
- 2022년: 38억 달러
- 2023년: 17억 달러
- 2024년: 14억 9천만 달러
- 2025년 (1월-4월): 17억 4천만 달러
올해의 급격한 속도는 2025년이 Terra/Luna 붕괴와 그 후에 따라온 전염으로 전례 없는 취약성이 생성된 2022년 기록을 초과할 가능성을 시사합니다.
"현재 해킹 물결에서 특히 우려스러운 점은 시장 안정기 동안 발생하고 있다는 점입니다," Aave의 전 보안 책임자 마이클 르웰렌이 지적합니다. "2022년처럼 시장 혼란과 청산 연쇄로 인한 예외적인 상황이 아니라, 이러한 공격은 정상적인 조건을 가진 프로토콜을 상대로 성공하고 있습니다."
Q1 2025: 4월의 급증을 위한 무대 설정
4월의 악용은 이미 파괴적인 첫 분기를 기반으로 합니다. 이 해는 대규모 중앙 집중형 거래소 Bybit가 여러 핫월렛 비공개 키가 해킹되어 14억 6천만 달러가 손실된 사건으로 시작했습니다. 엄밀히 DeFi 악용은 아니지만, Bybit 사건은 광범위한 암호화 생태계에서 여전히 남아 있는 수탁 솔루션의 약점을 강조했습니다.
다른 주요 첫 분기 악용 사례로는:
- Infini 프로토콜: 여러 대출 플랫폼을 포함하는 복잡한 차익 거래 공격을 통해 5천만 달러 손실
- zkLend: 담보 가치 조작을 통해 플래시 대출 공격으로 950만 달러 도난
- Ionic: 사회 공학을 통해 특권 기능 접근 권한을 확보한 후 850만 달러 소진
4월의 수치와 함께 보면, 이러한 사건들은 점점 더 정교한 위협에 스스로를 보호하지 않는 산업의 모습을 그려냅니다.
공격 벡터의 진화
보안 연구원들은 2024년과 2025년 동안 공격 방법론에서 눈에 띄는 진화를 주목하였습니다. 초기 DeFi 악용은 종종 보호되지 않은 관리 기능, 하드코드된 키, 간단한 재진입 취약점과 같은 뚜렷한 결함을 표적으로 삼았습니다. 오늘날의 공격은 상당히 더 복잡합니다.
"현대 DeFi 악용은 일반적으로 단순한 구현 오류보다는 프로토콜 설계 기반의 수학적 가정을 목표로 하고 있다," 그래고 MIT의 디지털 화폐 이니셔티브 이사인 네하 나룰라 박사가 설명했습니다. "공격자들은 경제적 모델에서 가장자리 사례를 발견하고, 여러 프로토콜 간의 일시적인 불균형을 착취하고, 독립적인 시스템으로 간주되는 경계 사이의 미묘한 상호 작용을 이용하고 있습니다."
최근 몇 달간의 일반적인 공격 벡터는 다음과 같습니다:
제로 지식 증명 취약점
ZK 롤업 및 프라이버시 솔루션이 채택됨에 따라, 이들의 암호학적 기반을 목표로 한 공격이 증가했습니다. ZKsync의 4월 500만 달러 손실은 수학적으로 엄격한 시스템도 구현에 착취 가능한 결함이 존재할 수 있음을 보여줍니다.
크로스 체인 브릿지 악용
수년간의 경고에도 불구하고, 서로 다른 블록체인을 연결하는 브릿지 프로토콜은 여전히 취약합니다. UPCX의 7천만 달러 손실은 2022년의 웜홀($3억 2천만), 로닌($6억 2천만), 노마드($1억 9천만) 등 역사적 브릿지 악용 사건에 합류하게 됩니다.
오라클 조작
가격 오라클 공격은 점점 더 정교해지고 있으며, 공격자들은 여러 장소에 걸쳐 복잡한 시장 조작을 하여 일시적으로 가격 피드를 왜곡합니다.
거버넌스 공격
4월에는 일반적이지 않았지만, 거버넌스 메커니즘 악용은 증가하는 걱정거리로 자리잡고 있습니다. 최근의 공격은 플래시 론이나 기타 일시적인 자원 누적으로 의사 결정 통제를 획득할 수 있는 투표 시스템에 대한 공격을 목표로 삼았습니다.
제도적 대응: 산업의 적응
암호화폐 산업은 늘어나는 보안 도전에 직면하여 수동적이지 않았습니다. 몇 가지 제도적 대응이 나타났습니다:
강화된 감사 기준
Trail of Bits, 오픈제플린, Consensys Diligence와 같은 선도적인 감사 회사들은 코드 리뷰를 초월한 경제적 공격 시뮬레이션 및 공식적인 방법론을 포함한 종합적 방법론을 개발하였습니다.
"우리는 프로토콜이 1년 전보다 훨씬 더 철저한 감사를 요청하는 것을 보고 있습니다."라고 보안 회사 Ottersec의 창립자인 Yan Michalevsky는 보고합니다. "프로젝트를 이제는 일반적으로 배포 전에 여러 번의 독립적인 감사, 필요한 경우 형식 검증 및 경제적 시뮬레이션을 진행하고 있습니다."
### 보험 솔루션
Nexus Mutual 및 InsurAce와 같은 온체인 보험 프로토콜은 보장 옵션을 확대했지만 클레임의 증가 빈도에 대응하여 보험료가 상당히 증가했습니다. 2025년 5월 기준으로 약 5억 달러의 DeFi 자산이 일종의 악용 보장을 받고 있습니다. 이는 여전히 DeFi 전체 TVL의 1% 미만을 차지합니다.
### 버그 바운티 상향
Immunefi는 버그 바운티 보상이 전년 대비 평균 64% 증가했으며, 크리티컬 취약점에 대한 최대 지급액이 이제 정기적으로 100만 달러를 초과하고 있다고 보고합니다. 2025년 3월, 한 화이트햇 해커는 Uniswap V4에서 크리티컬 취약점을 발견하여 암호화폐 역사상 가장 큰 버그 바운티 보상액인 250만 달러를 받았습니다.
### 규제 주목
전 세계의 규제 기관은 보안 위기를 주목하고 있습니다. 유럽연합의 크립토 자산 시장(MiCA) 프레임워크는 2025년 초에 완전히 구현되어 이제 유럽 관할 구역에서 운영되는 DeFi 프로토콜이 최소 보안 기준을 충족해야 합니다.
미국에서는 SEC가 보안 침해를 등록되지 않은 증권을 제공하는 것으로 간주되는 프로토콜에 대한 집행 조치에 대한 추가적인 정당화로 사용하고 있습니다. SEC 의장 Gary Gensler는 최근 "이러한 해킹의 빈도는 바로 왜 투자자 보호가 이러한 새로운 금융 상품으로 확장되어야 하는지를 보여줍니다."라고 언급했습니다.
## 기술적 예방: 앞으로의 길
보안 전문가들은 DeFi 취약성의 근본 원인을 해결하기 위한 여러 필수적인 기술적 개선에 대해 대체로 동의합니다:
### 형식 검증
수학적으로 코드의 명세에 대한 올바름을 증명하는 형식 검증 기법은 핵심 프로토콜 구성 요소에 대해 필수적인 것으로 점점 더 간주되고 있습니다. 리소스를 많이 소모하지만 형식 검증은 전체 취약점 클래스를 제거할 수 있습니다.
"업계는 감사 및 출시 모델을 넘어 수학적으로 증명된 보안 보장으로 나아가야 합니다."라고 Zeppelin Solutions의 창립자인 Manuel Araoz는 주장합니다. "수십억 사용자의 자산을 취급하는 프로토콜에 대해서는 형식 검증을 수용할 수 있습니다."
### 분산 보안 모니터링
이상 거래 패턴을 감지할 수 있는 런타임 모니터링 시스템이 주목받고 있습니다. Forta Network와 같은 프로토콜은 여러 체인에 걸쳐 의심스러운 활동을 탐지하여 더 빠른 비상 대응이 가능하도록 하는 분산형 모니터링을 제공합니다.
### 타임락 및 회로 차단기
중요 자금 이동에 대한 의무 지연 시간 및 이상 조건 동안 프로토콜의 자동 중단을 구현함으로써 미래의 악용 영향을 완화할 수 있습니다.
### 표준화된 보안 프레임워크
여러 산업 그룹은 Open Zeppelin의 DeFi 보안 얼라이언스 및 Ethereum Foundation의 스마트 컨트랙트 보안 컨소시엄 등을 포함하여 DeFi에 특정한 표준화된 보안 프레임워크를 개발하고 있습니다.
## 혁신과 보안의 균형
2025년 4월의 악용 수치는 암호화폐의 보안 도전 과제가 여전히 시급함을 여실히 보여줍니다. 이미 2024년의 손실을 초과한 174억 달러의 연간 손실로 업계는 중요한 전환점에 직면해 있습니다.
"DeFi가 직면한 근본적인 도전은 기술적이 아니라 문화적입니다."라고 Dr. Narula는 결론지었습니다. "업계는 보안보다 혁신 속도를 우선시하고, 그 균형이 전환되지 않는 한 이러한 헤드라인이 계속될 것입니다."
DeFi가 주류 채택과 기관 참가를 달성하려면, 이러한 프로토콜이 수반하는 막대한 재정적 책임에 맞춰 보안 관행이 성숙해야 합니다. 암호화폐의 급속한 발전을 촉진한 무허가 혁신은 수조 원의 사용자 자금을 처리하는 금융 인프라에 적합한 엄격한 보안 관행과 균형을 이루어야 합니다.
2025년 두 번째 세 번째로 접어든 업계는 프로토콜이 DeFi를 혁신 만드는 개방성과 합성을 희생하지 않고 더 강력한 보안 측정을 구현할 수 있을지 모든 관심이 쏠릴 것입니다. 이 기술적 및 문화적 도전의 결과는 탈중앙 금융이 변혁적인 글로벌 금융 시스템이 될지 아니면 착취에 대해 영구적으로 취약할지 결정할 가능성이 높습니다.