2025년에는 암호화폐 해킹과 사기 사건이 끊이지 않았지만, 그중에서도 특히 눈에 띄는 사건이 하나 있었다.
블록체인 보안 회사인 해켄에 따르면 총 손실액은 약 40억 달러로 2024년 총액보다 37% 증가했으며, 이 중 절반 이상이 북한과 관련이 있는 것으로 나타났습니다.
Protos는 올해 발생한 가장 크고, 가장 이상하고, 가장 중요한 사건들을 정리하고, 이러한 사건들이 2025년 암호화폐 보안에 대해 무엇을 시사하는지 질문했습니다.
중앙 집중식 거래소가 약탈당했다
규모와 영향 면에서 올해 가장 큰 손실은 단연 2월에 발생한 바이비트(ByBit) 해킹 사건이었습니다.
거래소의 콜드월렛이 해킹당하면서 14억 달러 이상의 암호화폐 자산이 유출되었습니다. 이 해킹은 북한 해커들이 벌인 "트레이더트래터(TraderTraitor)"라는 암호화폐 전문 공격 캠페인의 소행으로 밝혀졌습니다.
해커들은 Safe Wallet 개발자용 컴퓨터를 해킹한 후, ByBit 팀에게 악성 거래를 위장하여 지갑 제어권을 탈취했습니다.
더 읽어보기: 암호화폐의 라자루스 문제 에 대한 해결책은 예상보다 간단할 수 있다
멀티시그 운영자들이 직면했던 "블라인드 시그닝" 문제에 대응하여 하드웨어 지갑 제조업체인 레저는 새로운 "클리어 시그닝" 기능을 도입했습니다. 그러나 "무료"라고 발표된 이 보안 업그레이드가 실제로는 무료가 아니라는 사실이 밝혀지면서 거센 반발에 부딪혔습니다.
TRM Labs는 이를 북한의 "인프라 공격의 산업화"라는 변화하는 추세의 일부로 보고 있습니다. 공격의 초점이 교량(2021-2022년)에서 서비스 제공업체(2023-2024년)로, 그리고 "CEX 대규모 강탈"(2024-2025년)로 옮겨간 것으로 보입니다.
2025년에 북한 해커의 공격을 받은 거래소로는 바이비트 외에도 9월에 4,100만 달러의 손실을 입은 스위스보그와 (아마도) 11월에 3,000만 달러의 피해를 입은 한국 거래소 업비트가 있습니다.
2025년에 해킹당한 다른 중앙 집중식 거래소(CEX)로는 CoinDCX(4400만 달러), WooX(1400만 달러), BigONE(2700만 달러), BtcTurk(4900만 달러, 2024년에도 5500만 달러 손실), BitPro(1150만 달러) 등이 있습니다.
지난 6월 이란 거래소 노비텍스에 대한 정치적 동기가 담긴 해킹 사건이 특히 눈에 띄었는데, 탈취된 9천만 달러가 이란을 비난하는 메시지가 담긴 복구 불가능한 주소로 전송되었기 때문이다.
디파이 플랫폼 해킹
올해는 DeFi 프로젝트에 대한 해킹 사건도 상당수 발생했지만, 심각성과 빈도는 이전 해보다 낮았습니다.
가장 심각한 사건은 11월에 발생했는데, Balancer v2 풀이 해킹으로 1억 2,900만 달러의 손실을 입었습니다. 막대한 손실 외에도, 이 해킹은 풀이 출시된 지 무려 5년 만에 발생했다는 점에서 놀라웠습니다.
자세히 보기: AI 해커가 500만 달러 규모의 해킹 공격으로 오래된 DeFi 프로젝트를 노리고 있는 것일까?
Balancer만이 올해 공격받은 유일한 OG DeFi 프로토콜은 아니었습니다. 12월에 Ribbon Finance, Rari Capital, 그리고 iEarn(현재 Yearn) Finance에 발생한 세 건의 해킹 사건은 5백만 달러 규모의 AI 지원 해킹 공격이라는 의혹을 불러일으켰습니다.
Yearn 자체도 900만 달러 규모의 해킹 공격을 받았지만, 240만 달러는 복구되었고, 이후 금고 중 하나에서 오류가 발생했음을 밝혔습니다.
아브라카다브라 역시 3월(1,300만 달러)과 10월(170만 달러)에 두 차례 해킹 피해를 입었으며, 조스는 3월 한 달 동안 총 870만 달러의 손실을 입었습니다.
한편, GMX에서 발생한 4,200만 달러 규모의 해킹 사건으로 USDC 발행사인 Circle은 자금 동결 조치를 취하지 않아 비난을 받았고, 블록체인 브리지인 Garden은 1,100만 달러 규모의 DeFi "업보"를 맞았습니다.
자세히 보기: 서클은 도난당한 자금을 동결하는 경우는 드물지만 거래 취소 기능을 원합니다.
한 해커는 특히 뛰어난 수법을 선보였는데, 감사관들을 온체인에서 조롱한 후 훔친 이더리움을 토네이도 캐시 개발자인 로만 스톰의 방어 기금으로 보냈습니다.
피싱이 많습니다
지난 7월, 2,700만 달러라는 엄청난 손실이 발생하면서 비너스 프로토콜에 대한 대규모 해킹 우려가 제기되었습니다. 그러나 해당 거래는 한 명의 거액 투자자가 피싱 사기에 속아 넘어간 것으로 밝혀졌습니다.
경험 많은 전문가조차도 때로는 위험에 빠질 수 있다는 사실을 다시 한번 상기시켜주는 사례들이 있었습니다. 암호화폐 전문가인 질 건터는 자금이 고갈되었고, UXLINK 해커는 피싱 공격으로 얻은 자금을 잃었습니다.
ZKLend 해커 역시 악성 Tornado Cash 프론트엔드를 사용한 후 피싱 공격으로 950만 달러를 잃는 참사를 겪었습니다.
최근 또 다른 사용자가 비슷한 문제로 230만 달러를 잃었습니다.
자세히 보기: 7천만 달러 규모의 '주소 조작' 사기 환불 진행 중, 50% 이상 반환
크리스마스 직전, 엄청난 규모의 주소 도용 사기로 한 피해자가 5천만 달러(미국 달러)를 잃었습니다.
온갖 나쁜 소식에도 불구하고, 9월에는 "역사상 최대 규모의 공급망 공격"으로 불렸던 사건이 고작 0.05달러만 훔쳐가는 데 그치면서 그나마 위안이 되는 소식이 전해졌습니다.
디파이 드라마
해킹과 사기 사건을 차치하더라도, 디파이(DeFi) 무대에서는 수많은 다른 사건들이 벌어졌습니다.
스트림 파이낸스(Stream Finance)로 인해 촉발된 복잡하게 얽힌 수익률 금고의 붕괴로 수억 달러가 증발하면서 "연쇄 구조"가 무너져 내렸습니다.
이 사건의 여파로 관련 기업들은 대부분 침묵을 지키거나, 해명을 요구하는 문제 사용자들을 협박하는 방식을 택했습니다.
DAO 관련 논쟁이 격화되면서 Aave DAO와 Labs는 브랜드 권리를 놓고 다투고, Gnosis는 재무 담당자를 해고했습니다.
자세히 보기: '수치스러운' 거버넌스 투표 사태 속 AAVE 고래 투자자의 토큰 가격 10% 폭락
거의 3년 동안 OFAC(미국 재무부 해외자산통제국)의 제재 대상 목록에 올라 있던 암호화폐 믹서 토네이도 캐시에 대한 제재가 지난 3월 해제되었습니다.
하지만 이는 개발자 로만 스톰에게 도움이 되지 않았고, 그는 검찰 측의 다소 미심쩍은 증거에도 불구하고 4개월 후 유죄 판결을 받았습니다.
또 다른 메시징 앱인 Samourai Wallet의 개발자들은 지난 7월 유죄를 인정했지만, 현재 트럼프 대통령의 악명 높은 사면을 받기 위해 노력하고 있습니다.
우리는 뭔가 배운 게 있을까요?
바이비트 해킹 사건은 그 복잡성과 필요한 준비 수준을 통해 암호화폐의 가장 취약한 고리가 코드가 아니라 사람이라는 것을 보여주었습니다. 명확하고 위변조 방지 기능이 있는 서명 방식은 팀과 개인 모두에게 개선이 필요한 중요한 영역으로 남아 있습니다.
정치적 동기를 가진 세력들이 해외 중앙거래소(CEX)를 표적으로 삼으려 한다는 사실은 거래자들에게 또 다른 지정학적 위험을 안겨줍니다. (이미 충분한 위험에 직면해 있는데도 말이죠.)
성숙한 코드베이스는 올해 발생한 많은 DeFi 해킹이 기존 프로토콜을 기반으로 이루어졌다는 점에서 그 가치를 입증했습니다.
수년간 악의적인 해커들에게 시달려온 개발자들은 이제 과거의 사건에서 발생했던 문제점들을 피하는 법을 배우고 있는 것 같습니다.
또한 2025년 실적이 기대에 미치지 못했지만, SEC의 완화된 강경한 입장이 신뢰도 상승으로 이어졌다는 점도 확인했습니다.
수년간 주목받지 못했던 주요 DeFi 프로젝트들이 이제 다시 통합되어 주류 시장을 겨냥하고 있습니다.
