이 글은 CertiK이 선정한 2025년 웹3 보안 사고 10대 목록을 기반으로 합니다. 상위 10개 사고로 인한 총 손실액은 25억 달러를 넘어섰으며, 그중 바이빗(Bybit) 사고가 절반을 차지했습니다. 올해 발생하는 보안 사고는 더 이상 스마트 계약의 논리적 취약점에만 국한되지 않고, 더욱 복잡한 공급망 공격, 소셜 엔지니어링, 내부자 위협, 지정학적 사이버 전쟁 등으로 진화하고 있습니다.

기사 작성자: 0x9999in1

기사 출처: ME

ME 그룹은 코인파운드리와 협력하여 많은 기대를 모으고 있는 연례 칼럼 "크립토 크로니클 2025: 융합의 시대 | 웹3 연례 순위 및 연말 결산"을 발표합니다. 중국어권 커뮤니티의 관심사를 반영하여 5개 주요 산업 순위를 공개하고, 업계에서 가장 영향력 있는 인물, 사건 및 혁신을 조명할 예정입니다.

이 글은 CertiK이 선정한 2025년 웹3 보안 사고 10대 목록을 기반으로 합니다. 상위 10개 사고로 인한 총 손실액은 25억 달러를 넘어섰으며, 그중 바이빗(Bybit) 사고가 절반을 차지했습니다. 올해 발생하는 보안 사고는 더 이상 스마트 계약의 논리적 취약점에만 국한되지 않고, 더욱 복잡한 공급망 공격, 소셜 엔지니어링, 내부자 위협, 지정학적 사이버 전쟁 등으로 진화하고 있습니다.

바이빗의 대규모 자산 도난 사건

손실액: 1,447,063,421달러

2025년 최대 보안 재앙은 최고 중앙화 거래소 인 바이비트(Bybit)에서 발생하여 무려 14억 4,700만 달러의 손실을 초래했습니다. 이 사건은 암호화폐 역사상 최대 규모의 단일 해킹 사건 중 하나로 꼽히며, 도난당한 자금은 주로 이더(ETH)과 기타 주요 암호화폐에 집중되었습니다. 공격자들은 매우 정교한 수법을 사용하여 거래소 의 다중 서명 보안 메커니즘을 우회하고, 핫월렛에서 직접 자금을 빼돌렸으며, 심지어 일부 콜드월렛에도 접근했을 가능성이 있습니다.

이번 공격의 핵심 원인은 내부 시스템에 대한 심각한 침투 또는 공급망 공격일 가능성이 높습니다. 해커들(라자루스 그룹과 같은 국가 차원의 해킹 그룹으로 추정됨)은 수개월 동안 바이비트의 내부 네트워크에 잠복하여 중요한 개인 키 서명 권한을 획득하거나 출금 인터페이스 코드를 변조했을 수 있습니다. 이번 사건 이후 막대한 자금이 수천 개의 새로 생성된 지갑 주소로 신속하게 분산된 후 믹서를 이용해 세탁되어 복구 작업이 매우 어려워졌으며, 이는 중앙화 거래소(CEX) 업계 전체에 자산 수탁 보안에 대한 심각한 경고가 되었습니다.

비트 고래 피싱 사건(bc1qxjp)

피해액: 3억 3,070만 달러

두 번째 사례는 대규모 개인 고래 대상으로 한 피싱 사기로, 3억 3천만 달러의 손실을 초래했습니다. 피해자의 비트코인 ​​주소는 단 한 번의 거래로 완전히 비워졌고, 모든 자금은 "bc1qxjp"로 시작하는 해커 주소로 흘러갔습니다. 이 사례는 해커들이 거래소 보안을 뚫는 것에서 벗어나 상당한 자산을 보유한 개인 투자자를 표적으로 삼아 인간의 취약점을 악용하는 방향으로 공격 대상을 전환했음을 보여줍니다.

이번 사건은 정교한 사회공학적 수법을 사용한 것으로 추정됩니다. 공격자들은 신뢰할 수 있는 지갑 소프트웨어 업데이트, 장외 거래 상대, 또는 법률 자문가로 가장하여 피해자들이 백도어가 포함된 소프트웨어를 다운로드하도록 유도하거나, 피해자들이 주소를 복사하여 붙여넣을 때 클립보드 내용을 변조했을 수 있습니다. 수억 달러에 달하는 자산을 보유한 개인에게 있어 오프체인 환경(예: 컴퓨터 악성코드 감염 또는 개인 키의 인터넷 접근)에서의 사소한 부주의조차도 돌이킬 수 없는 손실로 이어질 수 있으며, 비트코인 ​​거래의 비가역성 때문에 이 막대한 금액이 순식간에 사라진 것입니다.

Cetus 프로토콜 오버플로 취약점 사고

손실액: 2억 2,568만 719달러

Sui 생태계 내 주요 탈 탈중앙화 거래소 인 Cetus가 심각한 스마트 계약 취약점 공격을 받아 프로토콜에 약 2억 2,500만 달러의 손실을 입혔습니다. Move 프로그래밍 언어로 구축된 대표적인 프로젝트인 Cetus의 이번 해킹 사건은 Move가 본질적으로 안전하다는 일반적인 인식을 산산조각냈습니다. 공격자들은 계약의 유동성 계산상의 논리적 결함을 악용하여 특정 가격 범위(틱)를 조작함으로써 극히 낮은 비용으로 유동성 풀의 대부분을 클레임.

기술적 분석에 따르면 이번 취약점은 정수 오버플로 또는 수학 연산 과정에서의 경계 검사 누락에서 비롯된 것으로 보입니다. 탈중앙화 금융(DeFi) 프로토콜에서는 복잡한 알고리즘 논리로 인해 보안 감사 에 있어 사각지대가 발생하기 쉽습니다. 공격자들은 정교하게 조작된 비정상적인 거래 매개변수를 이용하여 시스템 위험 제어를 우회하고, 마치 "허공에서 돈을 찍어내는 것처럼" 사용자들의 스테이킹 자산을 탈취했습니다. 이 사건은 Cetus 프로토콜 자체에 심각한 피해를 입혔을 뿐만 아니라, 전체 Sui 생태계의 총 예치 자산(TVL)에 단기적으로 상당한 변동을 초래했습니다.

밸런서 액세스 제어 실패 이벤트

손해액: 1억 1318만 6248달러

2025년, 유명 탈중앙화 금융(DeFi) 프로토콜인 Balancer가 심각한 보안 공격을 받아 1억 1,300만 달러 이상의 손실을 입었습니다. 이더 의 유동성 풀을 구성하는 핵심 인프라 요소 중 하나인 Balancer의 해킹은 여러 하위 프로젝트에 영향을 미쳤습니다. 공격은 주로 Balancer V2 또는 일부 향상된 유동성 풀 스마트 계약을 표적으로 삼았으며, 해커들은 코드의 접근 제어 취약점이나 재진입 경로를 악용하여 유동성 풀에서 자산을 강제로 빼돌렸습니다.

이번 사건은 계약 접근 제어 관리의 허점에서 비롯되었으며, 권한이 없는 외부 사용자가 제한되었어야 할 "플래시 론(Flash loan)"이나 "자산 재조정" 작업을 실행할 수 있도록 허용했습니다. 공격자들은 악의적인 거래를 조작하여 마치 정당한 인출 권한이 있는 것처럼 가장하거나, 가격 오라클 업데이트 중 발생하는 가격 차이를 악용했습니다. Balancer 팀은 이상 현상을 발견한 직후 프로토콜을 즉시 중단했지만, 블록체인의 즉시 결제 특성으로 인해 수억 달러가 단 몇 분 만에 이체되었습니다.

비트 고래 피싱 사건(bc1qhd4)

손해 배상액: 91,127,110달러

이는 주요 비트코인 ​​보유자를 대상으로 한 두 번째 표적 피싱 공격으로, 9,112만 달러의 손실을 초래했습니다. 도난당한 자금은 bc1qhd4로 끝나는 해커의 주소로 흘러들어갔습니다. 앞서 언급된 피싱 사례들과 마찬가지로, 이번 사건은 "주소 조작" 공격이 얼마나 만연해 있는지를 다시 한번 보여줍니다. 해커들은 피해자들이 자주 사용하는 주소의 시작과 끝 부분을 모방한 매우 유사한 "가짜 주소"를 생성하여 소액을 송금함으로써 피해자의 거래 내역을 조작합니다.

피해자는 거액 이체를 할 때 주소를 제대로 확인하지 않고 거래 내역에서 위조된 주소를 복사하는 습관 때문에 해커의 계좌로 거액이 직접 이체되는 결과를 초래했습니다. 이러한 공격 방식은 사용자의 부주의와 운영상의 허점을 악용하는 것으로, 비용은 매우 저렴하지만 파괴력은 매우 높습니다. 약 1억 달러에 달하는 자산을 보유한 계좌에서 엄격한 화이트리스트 시스템과 하드웨어 지갑을 통한 다중 인증이 부재했던 것이 이러한 비극의 근본 원인이었습니다.

노비텍스 정치 해킹 사건

손실액: 89,142,954달러

이란 최대 암호화폐 거래소 노비텍스(Nobitex)가 해킹 공격을 받아 약 8,914만 달러의 손실이 발생했습니다. 이 사건은 지정학적으로 중대한 의미를 지니는데, 공격자들은 단순히 경제적 이득을 노린 것이 아니라 지역의 핵심 금융 인프라를 마비시키려는 의도도 있었기 때문입니다. 해커들은 거래소 의 백엔드 서버에 침투하여 핫월렛을 장악하고 대량 비트코인과 스테이블코인 자산을 불법적으로 빼돌렸습니다.

이번 공격은 지정학적 갈등 속에서 암호화폐 관련 기업들이 직면하는 고유한 리스크 드러냈습니다. 국제 제재로 인해 해당 지역의 거래소 최고 수준의 보안 서비스를 이용하지 못하는 경우가 많아 시스템 방어력이 상대적으로 취약합니다. 해커들은 이러한 취약점을 악용하여 피싱 공격과 제로데이 취약점을 통해 거래소 의 내부 네트워크를 침해했으며, 이는 중앙 집중식 서버가 웹3 세계에서 가장 취약한 연결 고리 중 하나임을 보여줍니다.

Phemex 핫월렛 개인키 유출 사건

손해액: 71,714,297달러

유명 파생상품 거래소 페멕스(Phemex)의 핫월렛 개인키가 유출되어 7,171만 달러 상당의 자산이 도난당했습니다. 사건 당시 이더, 비트코인, 솔라나 등 온체인 페멕스의 핫월렛이 거의 동시에 비워졌는데, 이는 거래소 단일 취약점이 존재하며 핵심 서명 권한이 해커들에게 완전히 장악되었음을 시사합니다.

일반적으로 거래소 대부분의 자산을 콜드월렛에 보관하고, 일일 출금을 위해 소량만 핫월렛에 보관합니다. 그러나 7천만 달러가 넘는 손실은 핫월렛의 위험 관리 한도가 제대로 작동하지 않았거나, 해커들이 시스템 침입 후 출금 한도를 급격히 높였을 가능성을 시사합니다. 이 사건은 막대한 금전적 손실을 초래했을 뿐만 아니라 플랫폼에 대한 사용자 신뢰를 심각하게 훼손하여, 거래소가 보안 아키텍처 전면 개편을 위해 입출금 서비스를 일시적으로 중단하게 만들었습니다.

BTC 터크 거래소 공격

손실액: 53,914,665달러

터키 암호화폐 거래소 BTC Turk가 사이버 공격을 받아 약 5,391만 달러의 손실을 입었습니다. 공격자들은 거래소 의 유동성이 가장 높은 핫월렛 여러 곳을 표적으로 삼아 거래 데이터 스트림을 변조하거나 API 취약점을 악용하여 사용자 출금 자금을 공격자 통제 거래소 으로 대량 이체했습니다.

주요 지역 거래소 인 BTC Turk 해킹 사건은 중소형 거래소 들의 보안 투자와 자산 규모 간의 불균형을 여실히 보여줍니다. 해커들은 자동화된 스크립트를 이용해 고빈도 출금 요청을 감행했고, 이로 인해 거래소 의 위험 관리 시스템이 마비되었습니다. 이후 분석 결과, 거래소 실시간 온체인 이상 징후 모니터링 시스템이 부족하여 공격 초기 중요한 시점에 차단기가 작동하지 못했고, 자금 유출이 통제되지 않고 지속된 것으로 드러났습니다.

개인 고래 잡이 사건 (0xcb807)

손실액: 49,982,750.02달러

이는 이더 (EVM) 고래 온체인 전형적인 시그니처 피싱 공격으로, 약 5천만 달러에 달하는 손실을 초래했습니다. 비트코인 ​​피싱과는 달리, 이더 생태계의 피해자들은 악의적인 승인(Approve) 또는 허가(Permit) 서명에 동의하는 경우가 많습니다. 해커들은 피해자들을 가짜 DeFi 웹사이트나 에어드랍 수령하다 페이지로 유인하여, 무제한의 USDT 또는 ETH를 승인하도록 속입니다.

피해자가 지갑에서 "확인"을 클릭하는 순간, 해커는 추가 동의 없이 자산을 이체할 수 있는 권한을 얻었습니다. 피해자 주소 0xcb807...의 소유자는 자산에 대한 통제권을 넘겨주기 전에 모호한 서명 데이터의 진정한 의미를 제대로 파악하지 못했을 가능성이 있습니다. 이는 웹3 인터페이스에 내재된 "보는 것이 전부가 아니다"라는 리스크 여실히 보여줍니다. 숙련된 암호화폐 사용자조차도 정교하게 조작된 악성 서명을 완전히 해독하는 데 어려움을 겪습니다.

0xInfini 프로토콜 취약점 사고

손실액: 49,514,632달러

0xInfini 프로젝트에서 스마트 계약 취약점이 발견되어 약 4,951만 달러의 손실이 발생했습니다. 크로스체인 또는 복잡한 금융 로직을 사용하는 DeFi 프로토콜인 0xInfini의 핵심 계약 코드에는 감사 논리적 결함이 포함되어 있었습니다. 공격자들은 오라클 가격 조작이나 플래시 론(Flash loan) 공격을 악용하여 프로토콜의 유동성 풀을 순식간에 고갈시켰을 가능성이 있습니다.

이번 공격은 매우 신속하게 진행되었으며, 해커는 대출, 공격, 상환, 자금 인출에 이르는 모든 과정을 단 하나의 블록 내에서 완료했습니다. 근본적인 원인은 프로토콜 설계가 극단적인 시장 상황에서의 경계 조건을 제대로 고려하지 못해 위험 관리 논리가 무너진 데 있습니다. 사용자들에게 있어 이번 사건은 실제 환경에서 충분한 검증을 거치지 않은 신흥 프로토콜에 자금을 예치할 경우 원금 전액을 잃을 리스크 매우 높다는 점을 다시 한번 보여줍니다.

요약

2025년까지 25억 달러에 달하는 이 학비는 막대한 비용이 들지만, 그만큼 엄청난 가치를 지닙니다. 이는 개발자, 거래소 운영자, 기관 투자자, 일반 주주 등 모든 참여자에게 웹3 세계에서 보안은 결코 최종 목표가 아니라 끊임없는 군비 경쟁이라는 사실을 일깨워줍니다. 기술적 엄격함과 인간의 경계심, 그리고 개인의 책임과 업계 협력을 균형 있게 조화시켜야만 기회와 위험으로 가득 찬 이 디지털 영역을 더욱 안정적이고 멀리 나아갈 수 있습니다.

2026년에는 막대한 손실을 감수하며 보안에 대해 배우는 것이 아니라, 더욱 성숙한 방어 시스템을 바탕으로 진정한 대규모 도입 시대를 맞이하는 해가 되기를 바랍니다.

참고 자료: CertiK의 "2025 Skynet Hack3D Web3 보안 보고서"

클릭하여 접속하세요: "크립토 크로니클 2025: 융합의 시대 | Web3 연례 순위 및 연말 결산" 특별 보고서

클릭하시면 "Crypto Chronicle 2025: 융합의 시대 | Web3 연례 순위 및 연말 리뷰" 전용 웹페이지로 이동합니다.