슬로우 미스트 (SlowMist) 의 최신 연례 보고서 에 따르면 블록체인 업계는 2025년에 더욱 복잡한 보안 문제에 직면할 것으로 예상됩니다. 보안 사고 발생 건수는 2024년 410건에서 2025년 200건으로 감소했지만, 총 손실액은 전년 대비 약 46% 증가하여 무려 29억 3,500만 달러에 달할 것으로 전망됩니다.
올해 가장 큰 손실을 초래한 해킹 사건 10가지: Bybit, 14억 6천만 달러 손실 발생.
2025년 가장 주목할 만한 보안 사고는 암호화폐 거래소 비트(Bybit)에 대한 해킹 공격으로, 이로 인해 최대 14억 6천만 달러의 손실이 발생했습니다. 해커들은 세이프 월렛(Safe Wallet)의 다중 서명 권한에 접근하여 공격을 감행한 것으로 추정됩니다.
( 바이빗 해킹 사건의 비밀이 밝혀졌다! CEO 벤 저우, 위기 관리 당시 상황 회상: 우리는 위기를 극복할 수 있었다 )
기타 중대한 손실 발생 사건은 다음과 같습니다.
Cetus 프로토콜: 계약 메커니즘의 취약점으로 인해 약 2억 3천만 달러의 손실을 입었습니다.
( 수이의 가족들이 눈물을 흘렸습니다! 수이의 주력 증권거래소인 세투스가 2억 6천만 달러 이상의 손실을 입어 총자산가치의 83%가 날아갔습니다 .)
Balancer V2: 스테이블 풀 스왑 경로의 계산 오류로 인해 약 1억 2,100만 달러의 손실이 발생했습니다.
( 밸런서, 1억 1600만 달러 해킹 의심! DeFi에서 또 다른 주요 보안 취약점 발견 )
노비텍스: 친이스라엘 해커 그룹의 공격을 받아 약 1억 달러 상당의 자산이 파괴되었습니다.
( 이란의 은행 시스템과 암호화폐 거래소 완전히 마비됐습니다! 대만 해협에서 정보전이 발발할 경우 비트코인 보유가 안전자산이 될 수 있을까요? )
영향을 받는 다른 프로젝트로는 Phemex(7천만 달러), UPCX(7천만 달러), BtcTurk(5천4백만 달러), Infini(5천만 달러), CoinDCX(4천420만 달러) 및 GMX(4천2백만 달러)가 있습니다.
( 암호화폐 카드 회사인 인피니는 5천만 달러 상당의 도난 피해를 입었으며, 회사 측은 전액 배상을 약속했습니다 .)
사기 수법은 진화하고 있습니다. 전통적인 피싱부터 AI 기반 공급망 오염 공격까지 다양합니다.
보고서는 2025년의 공격 방식이 특히 새로운 프로토콜 기능과 AI 기술을 결합하는 등 고도로 조직적이고 전문화될 것이라고 지적합니다.
AI 기술 공격
해커들은 딥페이크 기술을 이용해 기업 임원을 사칭하여 화상 회의에 참여하거나(아럽 홍콩 직원 사기 사건에서처럼) KYC 인증을 우회할 수 있습니다. 나아가 해커들은 AI 모델을 활용하여 악성 코드를 동적으로 생성함으로써 탐지를 회피하기도 합니다.
사회공학적 공격
흔히 사용되는 수법으로는 엔지니어들을 속여 악성 코드가 포함된 코드 저장소를 다운로드하도록 유도하는 취업 면접 사기가 있습니다.
( 취업 사기에 당했어요! 피해자 입장에서 웹3 소셜 엔지니어링 공격을 식별하는 방법을 분석해 봅니다 .)
클릭픽스 피싱
이는 사용자가 시스템에서 악성 명령을 실행하도록 유도합니다.
솔라나 권한 조작
계정 소유자의 권한을 수정하면 피해자가 개인 키를 가지고 있더라도 자산을 제어할 수 없게 됩니다.
EIP-7702 권한 남용
계정 추상화라는 새로운 기능을 악용하여 대규모 암호화폐 탈취가 발생했습니다.
( 이더 EIP-7702 피싱 공격이 해커들의 새로운 인기 수법으로 떠오르고 있습니다: WLFI 투자자들의 지갑이 텅 비었습니다 )
공급망 중독
해커들은 GitHub의 이슈 오픈소스 도구(예: Solana 거래 봇)나 NPM 패키지에 백도어를 심어놓습니다.
자금세탁 방지 감독은 2025년까지 국경을 넘는 집행 단계에 진입할 것입니다.
북한 해커 그룹(라자루스 그룹)은 2025년 첫 9개월 동안에만 약 16억 4,500만 달러를 훔쳐간 등 세계 최대 보안 리스크 중 하나로 남아 있습니다. 이들의 자금 세탁 과정은 조직적으로 이루어지며, 크로스체인 브리지, 코인 믹서, 그리고 추적을 어렵게 하기 위한 여러 차례의 자금 혼합 기법을 사용합니다.
동남아시아 자금세탁 부문에서 캄보디아의 후이오네 그룹은 대량 의 사기 자금 유입에 연루되어 미국 재무부 해외자산통제국(OFAC)의 제재를 받았습니다.
슬로우 미스트 (SlowMist) Technology는 2025년의 트렌드를 다음과 같이 요약합니다. 더욱 전문화된 공격 시스템, 더욱 은밀한 범죄 조직과의 연계, 그리고 더욱 강화된 규제 집행. 보안과 규정 준수는 더 이상 단순한 보호 기능에 그치지 않고, 기업 생존의 필수 조건이 되었습니다. 웹3 산업의 미래 활력은 더욱 강력한 내부 보안 통제와 투명한 재무 관리 모델을 구축하는 능력에 달려 있습니다.
이 기사, "2025년 블록체인 보안 및 자금세탁 방지 연례 보고서: 총 손실 46% 급증, AI 및 소셜 엔지니어링이 주류 위협으로 부상"은 블록체인 뉴스 플랫폼인 ABMedia 에 처음 게재되었습니다.
