2025년 12월 28일 늦은 밤, Flow 블록체인은 해킹 공격으로 인해 일시적으로 중단되었고, 회사는 메인넷 데이터를 공격 이전 상태로 되돌리기로 결정했습니다. 이 조치는 약 390만 달러의 손실을 복구하기 위한 것이었지만, "온체인 기록은 변조될 수 없다"는 핵심 원칙을 위협하며 연말을 앞두고 암호화폐 시장에 불안감을 조성했습니다.
이벤트 요약
2월 27일에 발생한 취약점은 실행 계층에 존재했습니다. 공격자들은 권한 검증을 우회하고 Celer, deBridge, Stargate와 같은 크로스체인 브리지를 통해 자금을 이체했습니다. 24시간 이내에 Flow Foundation은 "메인넷 28" 업데이트를 배포하여 온체인 높이를 137,385,824로 수정하고 네트워크를 읽기 전용 모드로 전환했습니다. 즉, 전체 체인이 마치 되감기되는 비디오 녹화처럼 모든 후속 거래의 확인이 중단된 것입니다.
핵심 기술 결정
롤백은 블록체인 문제를 신속하게 해결할 수 있는 방법이지만, 상당한 대가를 치러야 합니다. Flow 메커니즘은 검증자 합의에 기반하는데, 검증자들이 기록을 수정하는 데 동의한다는 것은 원장 내용의 변경 가능성을 인정하는 것과 마찬가지입니다. 이는 "코드가 법이다"라는 업계의 오랜 원칙과 정면으로 배치되며, 외부 애플리케이션이 Flow 자산 결제 계층을 신뢰하는 데 부정적인 영향을 미칩니다.
롤백 작업은 시스템 리스크 초래할 수 있습니다. 사용자가 롤백 기간 동안 크로스체인 브리지를 통해 자산을 이미 이체한 경우, 롤백 후 온체인 원래 잔액 복원됩니다. 이러한 이중 잔액 궁극적으로 크로스체인 브리지 또는 유동성 공급자에 의해 처리될 수 있습니다.
deBridge 공동 창립자 알렉스 스미르노프의 이 경고는 잠재적 위험을 지적합니다. 일방적인 롤백은 블록체인 간 결제 순서를 교란하여 일치하지 않는 "유령 자산"을 생성합니다. 브리징 계약에서 이미 상대방 측에 결제가 기록되었는데 Flow가 결제 출처를 삭제하면, 이는 제3자에게 부실 채권을 떠넘기는 것과 마찬가지입니다.
파급 효과 리스크 및 지배구조 논란
델파이 랩스의 법률 고문인 가브리엘 샤피로는 플로우 재단이 기술적 결함을 은폐하기 위해 "보안이 취약한 자산"을 만들고 있다고 직설적으로 비판했습니다. 그는 이러한 행태가 고도로 중앙집권화된 거버넌스가 어떻게 원장 기록을 조작할 수 있는지를 보여주는 사례이며, 탈 탈중앙화 라는 약속과는 거리가 멀다고 지적했습니다. 콘텐츠 제작자와 게임 개발자에게 있어 온체인 기록이 일방적으로 취소될 수 있다면 스마트 계약에 기반한 비즈니스 모델은 법적 안정성을 잃게 될 것입니다.
새 미국 행정부 출범을 앞두고 규제 당국은 암호화 관련 법안 심의를 가속화하고 있습니다. 이러한 움직임은 고도로 중앙집권화된 거버넌스의 취약점을 드러내며, 정책 입안자들이 "유사한 리스크"을 평가할 수 있는 즉각적인 사례 연구를 제공합니다.
시장 반응 및 후속 관찰
FLOW 토큰은 발표 후 24시간 만에 42% 폭락하여 2억 달러 미만으로 줄어들었습니다. 손실액으로 따지자면, 390만 달러를 회수하는 데 수천만 달러의 시총 손실이 발생했습니다. a16z와 Dapper Labs 같은 초기 투자자들이 수년간 기울인 노력이 물거품이 될 리스크 처했습니다.
다음으로, Flow는 크로스체인 브리지와의 손실 정산 조율을 강화하고, 완전한 기술적 사후 분석 결과를 공개하며, 검증자들의 신뢰를 재구축해야 합니다. 투명하고 검증 가능한 개선 계획이 제시되지 않는다면, 단기간에 신뢰 부족 문제를 해결하기 어려울 수 있습니다.
Flow는 "시간을 되돌리는" 선택을 했지만, 동시에 블록체인 세계에서 가장 깊은 판도라의 상자를 열어버렸습니다. 불변성은 블록체인 사회 계약의 근간입니다. 예외가 생기면 앞으로 발생할 모든 실패는 동일한 결과로 이어질 수 있습니다. 마찰 비용은 더 이상 기술적인 문제가 아니라, 신뢰를 재구축할 수 있는지 여부를 가늠하는 장기적인 시험대가 됩니다.
