네트워크 전반이 1,080만 달러 규모의 멀티체인 익스플로잇을 당한 뒤 Thorchain(RUNE)이 모든 활동을 중단한 지 하루 만에, 재단이 검증된 피해자들에게 자금을 돌려주기 시작하기 위해 1,000만 달러 규모의 보상 포털을 개설했다.
이번 침해로 비트코인(BTC), 이더리움(ETH), BNB 체인(BNB), 베이스에서 자금이 빠져나가며 총 12,847개 지갑이 영향을 받았다.
THORChain 기여자들은 이제 이번 익스플로잇이 검증인 세트 내부에서 시작되었을 가능성이 있다고 보고 있다. 사건 업데이트에서 팀은 증거가 최근 체인지된 노드 하나가 공격과 연관되었을 가능성을 가리킨다고 밝혔다. 조사관들은 공격자가 THORChain의 GG20 임계값 서명 스킴(Threshold Signature Scheme) 구현의 결함을 악용해 시간이 지날수록 볼트 키 자료를 조금씩 유출시키고, 이를 통해 개인 키를 복원해 무단 트랜잭션을 승인했을 것으로 의심하고 있다.
프로토콜 측은 현재 복구 논의에 피해를 입은 검증인 본드의 슬래싱과, 손실을 흡수하기 위한 프로토콜 보유 유동성(Protocol-Owned Liquidity) 준비금 사용이 포함된다고 밝혔다. RUNE 전송은 일시 중지 기간이 끝나면 재개될 수 있지만, 거래와 유동성 풀 관련 활동, 그 외 민감한 작업들은 네트워크가 보다 광범위한 복구·재설계 계획을 확정할 때까지 계속 중단될 예정이다.
익스플로잇은 어떻게 진행됐나
이번 공격은 Thorchain의 크로스체인 유동성 라우팅 레이어를 겨냥했다. Thorchain은 탈중앙화된 크로스체인 스왑 프로토콜로, 래핑 토큰이나 브리지 없이 BTC, ETH, BNB 등 네이티브 자산 간 교환을 지원한다.
프로토콜은 지원하는 각 체인마다 네트워크가 통제하는 볼트에 유동성을 보관한다. 한 공격자가 라우팅 로직의 취약점을 찾아내 네 개 네트워크의 볼트에서 동시에 자금을 유출했다. 이 공격의 멀티체인 특성 때문에 총 손실 규모가 1,000만 달러를 넘게 됐으며, 어느 한 체인에만 피해가 집중되지는 않았다.
Thorchain 운영자들은 비정상적인 자금 유출을 감지한 뒤 모든 거래를 중단했다. 이 중단 조치는 추가적인 공격을 막는 동시에, 조사 기간 동안 정상 이용자 자금도 묶어 두는 결과를 낳았다.
Also Read: Dogecoin Pushes At $0.11 Resistance As $3B Volume Tests Recovery
보상 포털
Thorchain 재단은 네 개 체인에서 피해를 입은 12,847개 지갑을 대상으로 하는 1,000만 달러 규모 보상 포털을 발표했다. 피해자는 청구가 처리되기 전에 지갑 소유권을 입증해야 한다. 재단이 즉각적인 에어드롭 대신 포털 방식을 택한 것은 위조 청구 위험을 줄이고, 온체인 데이터와 익스플로잇에 연루된 특정 트랜잭션 서명을 교차 검증할 수 있게 하기 위해서다.
1,000만 달러 규모의 풀은 실제로 유출된 1,080만 달러 전액을 충당하지 못한다. 80만 달러는 여전히 공개적으로는 공백으로 남아 있다. 재단은 이 차액을 자체 재무 자산에서 조달할지, 향후 토큰 판매를 통해 마련할지, 아니면 공격자 지갑을 겨냥한 지속적인 회수 노력에서 확보할지에 대해 아직 확인하지 않았다.
Also Read: OpenAI Lets US Users Plug ChatGPT Into Bank Accounts: What Can Go Wrong?
배경
Thorchain은 과거에도 익스플로잇을 여러 차례 겪은 바 있다. 이 프로토콜은 2021년 여름 두 차례 큰 공격을 받았는데, 한 번은 약 500만 달러, 또 한 번은 약 800만 달러 규모였다. 두 사건 모두 Thorchain 코어 네트워크와 외부 체인 간 통신을 담당하는 Bifrost 모듈의 취약점에 기인한 것으로 알려졌다.
당시 팀은 네트워크를 중단하고 커뮤니티 자금을 동원해 손실을 보전했으며, 이때 피해자 보상을 위해 재무 자원을 사용하는 관행이 자리 잡았다. 그때의 2021년 대응 방식은 재단이 현재 취하고 있는 조치와 유사하다.
이후 몇 년 동안 Thorchain은 대규모 보안 감사를 거치고 볼트 아키텍처를 개편한 뒤 재출범했다. 그럼에도 2026년 발생한 이번 익스플로잇은, 여러 차례 감사를 거친 뒤에도 크로스체인 라우팅이 여전히 탈중앙 금융(DeFi) 보안에서 가장 어려운 문제 중 하나라는 점을 시사한다.
Also Read: Why A $322B Stablecoin Pile Hasn't Triggered The Crypto Rally Bulls Expected
크로스체인 디파이의 프로토콜 리스크
Thorchain의 아키텍처는 단일 체인 프로토콜보다 구조적으로 훨씬 복잡하다. 지원하는 블록체인이 하나 늘어날 때마다 공격 표면도 확대된다. 이 프로토콜은 현재 10개가 넘는 체인을 지원한다. 각 통합에는 맞춤형 볼트 로직과 Bifrost 커넥터가 필요하다.
어느 하나의 커넥터에서 결함이 발생해도, 라우팅 레이어가 피해를 격리하는 데 실패하면 연결된 모든 볼트 잔액이 위험에 노출될 수 있다. 이것이 네이티브 크로스체인 설계의 핵심 트레이드오프다. 기존 프로토콜에서 사용되는 래핑 토큰 브리지는 체인별 리스크를 브리지 컨트랙트로 이전하는 반면, Thorchain의 네이티브 방식은 래핑 토큰 리스크를 제거하는 대신 라우팅 리스크를 자체 코드베이스에 집중시킨다.
보안 연구자들은 총 예치 자산(TVL)이 5억 달러를 넘는 크로스체인 프로토콜은 주기적인 외부 감사만으로는 부족하며, 지속적인 적대적(공격자 관점) 테스트가 필요하다고 지적해 왔다. 중단 이전 Thorchain의 TVL은 이미 이 범주에 속해 있었다.
Also Read: BNB Chain Pulls Ahead In 2026 RWA Race With 567% Holder Jump
앞으로의 일정
네트워크 중단은 재단이 취약점이 패치되었음을 확인할 때까지 계속될 예정이다. 재가동 일정은 아직 공개되지 않았다. 보상 포털은 보안 검토와 병행해 운영된다. 패치가 최소 두 곳의 독립 감사기관으로부터 검증을 받으면, RUNE 스테이커들의 거버넌스 투표를 통해 거래 재개 시점이 결정될 가능성이 크다.
이 과정은 수정의 복잡도에 따라 수일에서 수주까지 걸릴 수 있다. 피해 이용자들은 공식 Thorchain 채널을 통해 포털 접속 방법과 청구 마감 기한 관련 공지를 주시해야 한다.
Read Next: Ledger CTO Flags MPC Risk After THORChain's $10.8M Vault Hit