솔라나에 본사를 둔 암호화폐 거래소 드리프트 프로토콜이 어제 약 2억 8천만 달러 상당의 해킹 피해를 입었습니다. 이는 수주에 걸쳐 진행된 해킹 작전의 일환으로, 여러 명의 멀티시그 서명자의 승인 권한을 탈취하기 위해 소셜 엔지니어링 기법이 사용된 것으로 추정됩니다.
4월 1일 오후 7시(UTC+1)에 Drift는 프로토콜에서 "비정상적인 활동"이 감지되었다며 사용자들에게 자금 입금을 자제할 것을 권고했습니다. Drift는 "이는 만우절 농담이 아닙니다."라고 강조했습니다.
이는 X명의 사용자들이 Drift가 악용되고 있으며, 그 규모가 상당할 것이라는 경고를 제기한 데 따른 것입니다.
드리프트는 현재 공격을 받고 있으며 입출금을 일시 중단해야 한다고 확인했습니다. 연구원들은 드리프트의 개인 키가 유출되었을 가능성을 추측하기 시작했습니다.
드리프트 프로토콜이 현재 공격을 받고 있습니다. 입출금이 중단되었습니다. 여러 보안 회사, 브리지 및 거래소와 협력하여 사태를 수습하고 있습니다. 이는 만우절 농담이 아닙니다. 추가 소식은 이 계정을 통해 알려드리겠습니다. https://t.co/03SRPq4fHj
— 드리프트 (@DriftProtocol) 2026년 4월 1일
드리프트는 이후 사건의 전말과 과정을 자세히 담은 타임라인을 공개했습니다.
보고서에는 "이번 사건은 수주에 걸친 준비와 단계적 실행을 포함한 매우 정교한 작전으로 보이며, 실행을 지연시키기 위해 거래에 미리 서명하는 데 사용된 영구적인 논스 계좌도 포함되었다"고 명시되어 있습니다.
해당 보고서는 이번 공격이 드리프트의 프로그램이나 스마트 계약의 버그로 인한 것이 아니며, 시드 구문이 유출되었다는 증거도 없고, 해킹 실행 전에 무단 거래 승인이 이루어졌다고 주장합니다.
하지만 회사는 이러한 승인이 직원들을 대상으로 한 사회공학적 공격과 "지속적인 논스 메커니즘" 조작을 통해 이루어졌을 가능성이 높다고 인정했습니다.
드리프트에게 무슨 일이 있었던 걸까?
내구성이 뛰어난 논스 메커니즘은 블록해시 서명을 우회하고 오프라인 변환 서명을 용이하게 하는 블록체인 도구의 한 유형입니다.
Drift는 3월 23일에 내구성이 뛰어난 논스 계정 4개가 생성되었으며, 그중 2개는 Drift 보안 위원회 멀티시그 구성원과 연결되고 나머지 2개는 공격자가 제어하는 계정과 연결되었다고 주장합니다.
아래는 사건 발생 시간표입니다.
— 드리프트 (@DriftProtocol) 2026년 4월 2일
3월 23일: 초기 논스 설정
내구성이 뛰어난 논스 계정 4개가 생성되었습니다.
– 드리프트 보안 위원회 다중 서명 회원과 관련된 두 명
- 공격자가 제어하는 계정 두 개와 연관됨
관련 계정:
에이.…
그리고 3월 27일, "드리프트는 안전보장이사회의 구성원 변경으로 인해 계획된 안전보장이사회 이전 작업을 실행했습니다."
3일 후, 업데이트된 멀티시그 구성원 중 한 명을 위해 또 다른 영구적인 논스 계정이 생성되어 공격자들은 "업데이트된 멀티시그의 서명자 5명 중 2명에 대한 실질적인 접근 권한"을 확보하게 되었습니다.
처형일
Drift는 4월 1일에 보험 펀드에서 테스트 인출을 실행했다고 주장합니다. 공격자는 멀티시그 승인에 접근한 후 "몇 분 만에 악의적인 관리자 이체를 실행하여 프로토콜 수준 권한을 장악했습니다."
공격자는 "해당 제어 권한을 이용하여 악성 자산을 삽입하고 기존 자금을 공격하여 미리 설정된 모든 인출 한도를 제거할 수 있습니다."
드리프트는 이번 소셜 엔지니어링 공격이 어떻게 발생했는지에 대한 자세한 내용을 공개하지 않았습니다. 소셜 엔지니어링 공격은 공격자가 가짜 신분을 사용하여 다이렉트 메시지, 이메일 또는 전화를 통해 피해자를 속여 주요 권한에 대한 접근 권한을 획득하는 방식으로 이루어지는 경우가 있습니다.
드리프트의 파트너사인 서클(Circle) 자금을 동결하지 않았습니다.
이번 사건은 암호화폐 조사관인 ZachXBT로부터 비판을 받았는데, 그는 스테이블코인 회사인 서클(Circle) 이 도난당한 자금을 동결하기 위한 조치가 미온적이었다는 점을 문제 삼았습니다.
드리프트는 2023년에 서클의 크로스체인 전송 프로토콜(CCTP)을 통합했습니다. ZachXBT는 "수십억 달러 규모의 드리프트 해킹 사건 당시, 미국 시간 동안 수백만 달러 상당의 USDC가 CCTP를 통해 솔라나(Solana) 에서 이더리움으로 수 시간 동안 교환되는 동안 서클(Circle) 아무런 조치도 취하지 않았다"고 지적했습니다.
그는 " 서클(Circle) 2억 8천만 달러가 넘는 드리프트 해킹 사건에서 도난당한 자금을 동결하는 데 6시간밖에 걸리지 않았다"고 말했다.
일부 사용자들은 이번 공격이 중앙 집중식 메커니즘을 악용한 것으로 보임에도 불구하고 해당 프로토콜을 "분산화"로 분류한 것에 대해 이의를 제기했습니다.
다른 사용자들은 Drift가 거래를 진행하는 데 필요한 5개의 멀티그 승인 중 2개만 요구한다는 점에 불만을 표했습니다.
저기 있네요
— 토비(@tobific) 2026년 4월 2일
범인이 바로 저 사람이야
타임락 없이 500M Total Value Locked(TVL) 에 2/5 멀티시그를 사용하는 건 정말 대단하네요.
4/5 멀티시그(다중 서명) 정도는 될 거라고 생각하겠지만, 아니, 이 팀들은 정말 미쳤어. 그러고 나서 사용자 자금이 날아간 후에야 왜 그랬는지 설명하려고 엄청나게 복잡한 기술적 헛소리를 늘어놓지.
해당 플랫폼은 보안 회사, 법 집행 기관, 브릿지 및 거래소와 협력하여 사건 경위를 파악하고 도난당한 자산을 동결하기 위해 노력하고 있다고 밝혔습니다. 또한 향후 며칠 내에 더 자세한 보고서를 발표할 예정이라고 덧붙였습니다.
레저의 최고 기술 책임자는 이번 해킹 사건이 "지난해 북한과 연계된 세력의 소행으로 널리 알려진 바이비트(Bybit) 해킹 사건과 유사한 수법을 사용한 것"이라고 이미 추측했습니다.
프로토스는 드리프트 측에 논평을 요청했으며, 답변을 받는 대로 이 기사를 업데이트할 예정입니다.
