2025년과 2026년 초의 크립토 해킹은 달러 기준 피해액에서 모든 과거 연간 기록을 넘어섰으며, 스마트 컨트랙트 버그, 공급망 침해, 오라클 조작, 키 탈취, 정치적 동기에서 비롯된 사보타주까지 뒤섞여 약 34억 달러 규모의 손실을 냈다. 이 과정에서 드러난 것은, 위험을 키우는 진짜 요인이 단지 취약한 코드가 아니라, 소수 지점에 과도하게 집중된 신뢰라는 사실이다.
2025–2026년 크립토 해킹의 현황
통계 방식에 따라 수치는 다르지만, 전반적 방향성은 분명하다.
Chainalysis는 2025년 크립토 도난 총액을 34억 달러로 추산해 사상 최악의 해로 분류했다. TRM Labs와 TechCrunch는 별도로 27억 달러 수준이라고 보도했다. CertiK는 2025년 상반기에만 344건의 사고로 24억 7,000만 달러의 손실이 발생했다고 발표했는데, 이는 이미 2024년 한 해 순손실 19억 8,000만 달러를 넘어선 수치다.
비교를 위해 TRM Labs는 2024년 한 해 동안 탈취된 크립토 자산을 22억 달러로 계산한 바 있다. 즉, 2025년 첫 6개월만으로도 이미 전년 전체를 앞질렀다.
이 시기를 특징짓는 것은 사건 수가 아니다. 집중도다.
Immunefi는 2025년 1분기가 16억 4,000만 달러의 손실(40건)로 역사상 최악의 크립토 해킹 분기였으며, 2024년 1분기 대비 4.7배 증가했다고 보고했다. 이 중 Bybit과 Cetus 단 두 건이 CertiK가 집계한 상반기 총액의 약 72%인 17억 8,000만 달러를 차지했다.
공격 유형 자체는 크게 달라지지 않았다. 스마트 컨트랙트 익스플로잇, 오라클 조작, 개인 키 탈취, 거래소 운영 실패, 그리고 국가 차원의 사이버 공격 등이 모두 등장한다. 달라진 것은 규모다. 2025년 상반기 평균 해킹 피해액은 전년 같은 기간 대비 두 배 수준으로 커졌고, 피해는 소수의 초대형 사고에 극도로 쏠렸다.
아래에서 다룰 최악의 사례들을 이어주는 공통된 실은 복잡성이 아니다. 신뢰다. 단일 키, 단일 벤더, 단일 거버넌스 구조, 단일 유동성 허브에 과도하게 집중된 신뢰 말이다.
또 읽어보기: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: 담보 없는 발행이 스테이블코인을 재무 위기로 만든 과정
2026년 3월 22일, 한 공격자는 Resolv가 AWS Key Management Service에 보관하던 특권 개인 키를 탈취해, 프로토콜의 USR 스테이블코인에 대해 두 차례의 초과 발행을 승인하는 데 사용했다.
첫 번째 트랜잭션에서는 약 10만 달러 상당의 USDC (USDC)를 예치하고 5,000만 USR을 발행했고, 두 번째로 추가로 3,000만 개를 찍어냈다.
총 8,000만 개가량의 무담보 토큰이 새로 유통에 들어왔다. 민팅 키는 멀티시그가 아닌 단일 외부 소유 계정(EOA)이었고, 컨트랙트에는 발행 상한, 오라클 체크, 수량 검증 같은 기본적인 안전장치가 없었다.
공격자는 발행한 USR을 wstUSR 및 여러 스테이블코인을 거쳐 약 11,400개의 Ether (ETH)로 바꿨고, 당시 시가로 약 2,400만~2,500만 달러에 해당했다. USR 가격은 17분 만에 Curve Finance에서 0.025달러까지 폭락하며 97.5%나 떨어졌다.
스테이블코인 해킹이 특히 치명적인 이유는, 담보가 실제로 건실한지 아니면 허약한지를 즉시 드러내기 때문이다.
프로토콜의 초기 담보 풀 약 9,500만 달러는 기술적으로는 그대로 남아 있었지만, 새로 풀린 8,000만 개의 무담보 토큰 때문에 Resolv는 약 9,500만 달러의 자산으로 약 1억 7,300만 달러의 부채를 떠안게 됐다. Aave, Morpho, Euler, Venus, Fluid 등 여러 DeFi 프로토콜이 위험 노출을 줄이기 위한 조치를 취했다.
익스플로잇, 강제 매도, 페그 이탈, 부채 갭, 공포 확산이라는 연쇄 반응은 하루도 안 되어 전개됐다.
또 읽어보기: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: 그 해를 규정한 15억 달러 메가 브리치
크립토 도난 역사에서 단일 사건 기준으로 Bybit에 2025년 2월 21일 발생한 사고만큼 큰 피해를 낸 사례는 없다.
온체인 조사자 ZachXBT는 먼저 거래소의 Ethereum (ETH) 콜드 월렛에서 14억 6,000만 달러가 넘는 의심스러운 출금을 포착했다. FBI는 이후 이번 도난을 Lazarus Group 산하 TraderTraitor 클러스터의 소행으로 지목하며 피해액을 약 15억 달러로 추산했다.
총 401,347 ETH가 탈취되었고, 이는 이전까지 최대 규모였던 Ronin Network와 Poly Network 해킹 피해액을 합친 것보다 많은 수량이다.
이번 브리치는 Bybit 자체 코드의 실패가 아니었다. Sygnia와 Verichains의 포렌식 조사는 원인을 서드파티 멀티시그 플랫폼 **Safe{Wallet}**의 공급망 침해로 추적했다. 공격자들은 2월 4일경 Safe 개발자의 macOS 워크스테이션을 장악해 AWS 세션 토큰을 훔쳤고, 2월 19일에는 Safe 웹 인터페이스에 악성 자바스크립트를 주입했다.
이 코드가 활성화되는 조건은 Bybit의 특정 이더리움 콜드 월렛이 트랜잭션을 시작할 때뿐이었다. 6명 중 3명의 멀티시그 서명자가 변조를 눈치채지 못한 채 서명했다.
Bybit CEO Ben Zhou는 해킹 이전 기준 160억 달러가 넘는 준비금을 보유해 거래소는 여전히 지급 능력이 있다고 확인했다. 72시간 안에 Bybit은 Galaxy Digital, FalconX, Wintermute, Bitget으로부터 긴급 대출을 받아 ETH 준비금을 보충했다. 그러나 3월 20일 기준, 탈취된 ETH의 약 86%가 거의 7,000개 지갑을 거쳐 Bitcoin (BTC)으로 전환된 상태였다.
교훈은 명확하다. 단일 거래소, 단일 브리치, 단일 이벤트만으로도 한 해 업계 전체 손실 프로필이 완전히 뒤집힌다. 가장 큰 실패는 종종, 규모가 곧 안전이라고 사용자들이 가정하던 곳에서 발생한다.
또 읽어보기: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Sui의 Cetus: 2억 2,300만 달러 익스플로잇이 플래그십 DEX를 멈춰 세운 방식
2025년 5월, Sui (SUI) 네트워크 최대의 탈중앙 거래소인 Cetus는 유동성 풀에서 약 2억 2,300만 달러가 빠져나가는 익스플로잇을 당했다. 근본 원인은 프로토콜의 집중 유동성 수학 라이브러리에 있던 정수 오버플로 버그였다.
한 함수가 기준값을 비교하는 과정에서 1비트가 잘못 설정되어, 공격자는 단 한 개의 토큰만 예치하고도 수백만 달러 상당의 유동성 포지션을 받는 게 가능했다는 분석이 나왔다.
Sui 검증인들은 온체인에 있던 도난 자금 약 1억 6,200만 달러를 동결하는 이례적인 조치를 취했으며, 거버넌스 투표에서 90.9%의 찬성을 얻었다. 약 6,000만 달러는 이미 동결 이전에 이더리움으로 브리지된 상태였다.
Cetus는 17일간의 중단 끝에 서비스를 재개했으며, 회수 자금과 자체 현금 준비금 700만 달러, Sui Foundation의 3,000만 USDC 대출로 풀을 다시 채웠다.
체인의 대표 유동성 허브가 멈추면, 전체 체인의 신뢰도에 흠집이 난다. 토큰 가격, 체인 평판, 사용자 신뢰, 생태계 주체들의 비상 개입 필요성까지 — 충격파는 단일 프로토콜을 훨씬 넘어선다.
또 읽어보기: Brazil Freezes Crypto Tax Rules
GMX: 최상위 무기한 선물 DEX도 4,200만 달러를 잃은 이유
2025년 7월, GMX는 Arbitrum의 V1 배포본에 존재하던 크로스 컨트랙트 재진입 취약점으로 인해 4,200만 달러가 넘는 피해를 입는 익스플로잇을 당했다. 디크리즈 오더를 실행하는 함수가 일반 지갑이 아닌 스마트 컨트랙트 주소를 파라미터로 받도록 설계되어 있었던 것이 문제의 출발점이었다.
ETH를 환불하는 단계에서 실행 흐름이 공격자의 악성 컨트랙트로 넘어가면서 재진입이 가능해졌고, 이를 통해 내부 가격 데이터를 실제 시장가의 약 1/57 수준까지 왜곡시킬 수 있었다.
GMX는 약 500만 달러에 해당하는 10% 화이트햇 바운티를 48시간 데드라인과 함께 제안했다. 법적 조치를 취하겠다는 위협 이후, 공격자는 현상금을 보유한 채로 약 3,750만 달러에서 4,050만 달러를 분할 반환했다. GMX는 이후 피해를 입은 GLP 보유자들을 대상으로 4,400만 달러 규모의 보상 계획을 완료했다.
자금이 반환되었다고 해서 시스템이 제대로 작동했다는 의미는 아니다. 화이트 해커 프레이밍, 버그 바운티 제안, 부분적인 회수는 근본적인 보안 실패를 제거하지 않은 채 시장의 반응을 완화할 뿐이다.
이 취약점은 아이러니하게도 2022년에 이전 버그를 수정하는 과정에서 도입된 것이었다. GMX V2는 영향을 받지 않았다.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: 암호화폐 해킹이 지정학적 전쟁이 될 때
2025년 6월, 이란 최대의 암호화폐 거래소인 Nobitex는 비트코인, 이더리움, 도지코인, XRP, 솔라나, 트론, TON 등 여러 블록체인 전반에서 약 9,000만 달러 상당의 자산을 탈취당하는 해킹을 당했다.
친이스라엘 해킹 그룹인 Gonjeshke Darande(Predatory Sparrow로도 알려짐)가 이번 공격의 책임을 주장했다.
공격은 이스라엘과 이란 간의 군사적 충돌이 진행 중인 상황에서 발생했다.
이번 사건은 금전적 이익을 노린 도난이 아니었다. 탈취된 자금은 회수 가능한 개인 키가 전혀 없는, IRGC(이란 혁명수비대)를 비난하는 메시지가 담긴 커스텀 소각 주소로 전송되었고, 이는 사실상 9,000만 달러를 정치적 메시지를 위해 불태운 셈이었다.
다음 날, 공격자들은 Nobitex의 전체 소스 코드, 인프라 문서, 내부 프라이버시 연구 자료를 공개적으로 유출했다.
일부 암호화폐 해킹은 애초에 이윤 극대화를 목표로 하지 않는다. 그것들은 방해 공작이거나, 신호 보내기이거나, 사이버 전쟁 행위다. 이런 공격은 동기, 방법, 후속 결과, 그리고 회복 불가능성까지, 거의 모든 차원에서 프로토콜 취약점 악용과는 다르다. Nobitex는 이후 부분적인 서비스 재개를 보고했지만, 7월 초 기준으로 유입 거래량은 전년 동기 대비 70% 이상 감소했다.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: GMX 연계 콜드론을 통해 디파이 대출을 강타한 익스플로잇
2025년 3월 25일, 공격자는 Abracadabra Finance의 대출 시장(콜드론)에서 약 6,260 ETH(당시 약 1,300만 달러 상당)를 탈취했다. 공격 대상이 된 콜드론은 GMX V2 유동성 풀 토큰을 담보로 사용하고 있었으며, 익스플로잇은 gmCauldron 컨트랙트 내 상태 추적 오류를 악용한 플래시 론 기반 자기 청산 기법에 의존했다.
탈취된 자금은 Arbitrum에서 이더리움 메인넷으로 브리지되었다. 보안 업체 PeckShield가 사건을 가장 먼저 포착한 곳 중 하나였다. GMX는 자사 컨트랙트는 영향을 받지 않았음을 확인했다.
Abracadabra는 20% 규모의 버그 바운티를 제안했다. 이는 이 프로토콜의 두 번째 대형 해킹으로, 2024년 1월에도 649만 달러 규모의 익스플로잇을 당한 바 있다.
이 사건은 조합성(composability) 리스크를 잘 보여준다. 어떤 프로토콜은 단독으로 볼 때는 안전해 보일 수 있지만, 다른 프로토콜과의 통합과 의존성 때문에 취약해질 수 있다.
디파이 이용자들에게 중요한 것은 겉으로 보이는 브랜드가 아니라, 내부 구조 — 어떤 담보를 허용하는지, 어떤 외부 컨트랙트를 호출하는지 — 이다.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid와 JELLY: 시장 구조 논란과 중앙집중화 논쟁
2025년 3월 26일, 한 공격자는 Hyperliquid에서 유동성이 거의 없는 JELLY 밈코인에 대해 410만 달러 규모의 숏 포지션을 여는 동시에 두 개의 상쇄되는 롱 포지션을 열고, 이후 이 토큰의 현물 가격을 400% 이상 인위적으로 끌어올렸다.
숏 포지션이 청산되자 Hyperliquid의 자동화된 HLP 볼트가 이 손실 포지션을 떠안게 되었고, 볼트의 미실현 손실은 약 1,350만 달러에 달했다.
이후 Hyperliquid의 검증인들은 모든 JELLY 포지션을 강제로 정리(close)했는데, 외부 오라클들이 0.50달러 가격을 보고하고 있었음에도 불구하고, 공격자의 최초 숏 진입 가격인 0.0095달러로 결제 처리했다.
이 조치는 2분 이내에 실행되었으며, 프로토콜이 세트당 단 4개의 검증인에 의존하고 있다는 점을 드러냈다.
논란의 핵심은 단순히 손실 규모가 아니다.
Bitget의 CEO Gracy Chen은 Hyperliquid를 공개적으로 "FTX 2.0"이라고 비판했다. 이후 한 달 동안 프로토콜의 락업 예치 자산(TVL)은 5억 4,000만 달러에서 1억 5,000만 달러로 급감했고, HYPE 토큰은 20% 하락했다. Hyperliquid는 이후 자산 상장 폐지 결정에 대해 온체인 검증인 투표를 도입하는 업그레이드를 진행했다.
탈중앙화 거래소가 위기 상황에서 중앙집중적 방식으로 행동하면 어떤 일이 벌어지는가? 이 질문은 금전적 손실 규모가 최대치가 아니더라도 연구 차원에서 매우 유의미하다. 이번 사건은 신뢰의 균열을 드러냈다.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: 무한 발행(infinite mint) 리스크와 낮은 유동성이 큰 버그를 가릴 수 있는 이유
2025년 6월, Meta Pool은 공격자가 어떠한 ETH 담보도 예치하지 않고 9,705 mpETH(약 2,700만 달러 상당)를 발행할 수 있게 만든 스마트 컨트랙트 취약점 피해를 입었다.
취약점은 ERC-4626의 mint 함수에 존재했다. 공격자는 프로토콜의 빠른 언스테이킹 기능을 통해 일반적인 쿨다운 기간을 우회했다.
하지만 실제 실현 손실은 약 13만 2,000달러에 불과했다. 관련 Uniswap 스왑 풀의 유동성이 매우 얇았기 때문에 공격자는 겨우 52.5 ETH만 현금화할 수 있었다.
한 MEV 봇이 공격의 일부를 프런트러닝해 약 90 ETH의 유동성을 빼냈고, 이후 이 자금은 프로토콜에 반환되었다. 사용자가 원래 스테이킹했던 913 ETH는 SSV Network 운영자들에게 안전하게 보관되어 있었다.
때로는 버그의 심각성이 실제 손실액보다 훨씬 크다. 이번 사례의 익스플로잇 경로는 이론적으로는 치명적인 피해를 의미했지만, 빈약한 유동성이 공격자의 실제 수익을 제한했다. 이런 차이는 디파이 리스크를 평가하는 사람들에게 중요하며, 단순히 달러 기준 손실액 순위만으로 사건을 평가하지 말아야 하는 이유를 보여준다.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: a16z의 투자를 받았어도 공격은 당한다
2025년 5월 28일, Cork Protocol은 약 1,200만 달러 규모의 익스플로잇을 당했다. 공격자는 Cork Hook의 beforeSwap 로직과 누락된 접근 제어를 악용해 3,761 wstETH를 탈취했다.
근본 원인은 입력값 검증 부재와, 안전장치 없이 누구나 마켓을 생성할 수 있게 한 구조에 있었다. 이를 통해 공격자는 합법적인 DS 토큰을 상환 자산으로 사용하는 가짜 마켓을 만들 수 있었다.
Cork는 2024년 9월에 a16z crypto와 OrangeDAO로부터 투자를 받은 바 있다.
여기서의 교훈은 단순하다. 기관 투자자, 최상위 벤처 캐피털의 투자, 세련된 브랜딩이 기술적 리스크를 제거해 주지는 못한다. 독자는 자금 조달의 수준을 프로토콜의 안전성과 혼동해서는 안 되며, 아무리 철저한 감사(audit)라도 보장을 제공하지 못한다. 문제 감지 직후 모든 컨트랙트가 즉시 일시 중지되었지만, 자금은 이미 사라진 뒤였다.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: 되풀이되는 디파이 약점으로서의 오라클 조작
2025년 4월, KiloEx는 Base, opBNB, BNB 스마트 체인에서 약 700만~750만 달러를 잃었다. 공격자는 플랫폼의 MinimalForwarder 컨트랙트에 존재하던 접근 제어 취약점을 악용했는데, 이 결함은 누구나 가격 설정 함수들을 호출할 수 있게 만들었다.
공격자는 레버리지 포지션을 열 때 ETH 가격이 100달러에 불과한 것처럼 오라클을 조작한 후, 1만 달러 가격에 포지션을 청산했다.
KiloEx는 10%에 해당하는 75만 달러 규모의 화이트 해커 바운티를 제안했다. 나흘 뒤 공격자는 탈취 자금을 전액 반환했고, KiloEx는 법적 조치를 취하지 않겠다고 발표했다.
플랫폼은 10일간의 중단 이후 서비스를 재개했으며, 중단 기간 동안 포지션이 열린 상태로 남아 있던 사용자들을 위한 보상 계획을 발표했다.
이 사례는 오라클 리스크를 설명하기에 가장 깔끔한 예시다. 잘못된 가격 데이터는 공격자에게 허위 가격으로 포지션을 열고 닫을 수 있는 여지를 제공한다. 겉으로는 정교해 보이는 많은 익스플로잇이 여전히 오래된 기본 요소 — 부정확한 가격 피드, 예측 가능한 가정, 부실한 검증 — 위에 구축되어 있다. 오라클 조작은 디파이에서 가장 지속적인 취약점 중 하나로 남아 있다.
Also Read: Gold's WorstWeek Since 1983
패턴이 보여주는 것
위의 10가지 사례는 메커니즘, 규모, 동기가 모두 다릅니다. 하지만 이들은 공통된 구조적 패턴을 공유합니다.
가장 재정적으로 파괴적인 사고였던 Bybit과 Resolv는 온체인 버그 때문이 전혀 아니었습니다. 둘 다 인프라 수준의 실패였습니다. 하나는 개발자 컴퓨터가 탈취된 경우였고, 다른 하나는 단 하나의 방비되지 않은 발행(minting) 키가 클라우드 인프라에 보관되어 있던 경우였습니다. 두 사건 모두 피해가 치명적이었던 이유는, 사용자들이 존재하지 않을 것이라고 가정했던 중앙화된 신뢰 지점이 실제로 존재했기 때문입니다.
Cetus와 GMX와 같은 프로토콜 수준의 익스플로잇은 코드 버그를 수반했지만, 피해 범위(blast radius)는 거버넌스 대응에 의해 결정되었습니다. 검증자들이 자금을 동결할 수 있었는지, 버그 바운티 협상이 성공했는지, 그리고 생태계 참여자들이 긴급 자금 지원에 나섰는지가 관건이었습니다.
Nobitex는 어떤 의미에서도 프로토콜 익스플로잇이 아니었습니다. 그것은 지정학적 사보타주 행위였습니다.
전체적인 그림은 낙관적이지 않습니다. 사고 건수가 줄어들었다고 해서 피해가 줄어드는 것은 아닙니다. 평균 피해 규모는 증가하고 있습니다. 북한만 해도 2025년에 20억 달러 이상을 탈취한 것으로 집계되었으며, 전년 대비 51% 증가한 수치입니다.
크립토에서 가장 중요한 보안 경계선은 온체인 로직에서 오프체인 인프라, 키 관리, 그리고 인간의 운영 보안으로 이동했습니다.
개인 사용자, 토큰 투자자, 프로토콜 팀 모두에게 데이터는 같은 결론을 시사합니다. 이제 질문은 “프로토콜의 스마트 컨트랙트가 감사(audit)를 받았는가”가 아닙니다. 질문은 “신뢰가 집중된 지점이 어디에 있는가 — 그리고 그 지점이 붕괴되면 무엇이 일어나는가”입니다.