2026년 4월은 해킹 발생 건수 기준으로 암호화폐 역사상 가장 많은 해킹이 발생한 달이었습니다.
약 40건의 개별적인 해킹 공격을 통해 약 6억 5천1백만 달러가 도난당했으며, 이는 하루에 한 건 이상의 사건이 발생한 셈입니다.
온체인에 자금을 보유하고 계신 분이라면 이 편지를 꼭 읽어보시기 바랍니다.
제가 이렇게 하는 건 여러분을 겁주려는 게 아닙니다 (사실, 어쩌면 겁주는 걸지도 모르지만 좋은 의도에서입니다). 제가 이렇게 하는 주된 이유는 이러한 해킹 수법이 나아지기 전에 더 악화될 거라고 생각하기 때문이며, 여러분의 자금을 보호하기 위해 적극적으로 나서야 할 때라고 생각하기 때문입니다.
4월에 무슨 일이 있었나요?
드리프트 프로토콜(2억 8,500만 달러)
드리프트는 약 5억 5천만 달러의 Total Value Locked(TVL)( 총 예치 자산)을 보유한 솔라나(Solana) 최대의 무기한 거래소였습니다. 그러나 4월 1일, 공격자들이 12분 만에 2억 8천 5백만 달러를 빼돌려 프로토콜 전체 Total Value Locked(TVL) 의 절반 이상을 날려버렸습니다.
이 계획은 2025년 10월 주요 암호화폐 컨퍼런스에서 시작되었습니다. 공격자들은 양적 거래 회사로 위장하여 6개월 동안 Drift 기고자들과 관계를 구축했습니다. 그들은 합법적이고 전문적인 경력을 가지고 있었으며, 모든 것이 정상적이고 합법적으로 보이도록 하기 위해 100만 달러가 넘는 자신들의 자금을 예치하기도 했습니다.
그들은 사회공학적 기법을 통해 신뢰를 얻은 후, 솔라나(Solana) ' 내구성이 뛰어난 논스(durable nonces)'라는 기능을 이용해 드리프트 보안 위원회 구성원들이 자신도 모르게 거래에 사전 서명을 하도록 유도했습니다. 내구성이 뛰어난 논스를 사용하면 지금 거래에 서명하고 나중에 실행할 수 있는데, 마치 백지수표에 서명하는 것과 같습니다.
4월 1일, 공격자들은 사전 서명된 거래를 실행했습니다. 1초 간격으로 발생한 두 건의 거래를 통해 관리자 제어권을 확보했습니다. 그들은 가짜 토큰을 화이트리스트에 추가하고, 5억 개의 가짜 토큰을 담보로 예치한 후, 2억 8,500만 달러 상당의 실제 자산을 인출했습니다. 이로 인해 드리프트(DRIFT) 토큰은 몇 시간 만에 42% 폭락했고, 솔라나(SOL) 토큰은 하루 만에 5.5% 하락했습니다.
켈프DAO(2억 9200만 달러)
KelpDAO는 이더리움 기반의 유동성 있는 리스테이킹(reStaking) 프로토콜입니다. KelpDAO는 스테이킹된 이더리움(ETH) 나타내는 rsETH를 발행하며, 이 rsETH는 LayerZero의 브리지를 통해 20개 이상의 체인에서 유통됩니다.
4월 18일, 공격자들은 약 2억 9200만 달러 상당의 담보 없는 rsETH 116,500개를 무차입했습니다. 이는 전체 rsETH 공급량의 약 18%에 해당하는 양으로, 아무런 근거 없이 생성된 것입니다.
이번 공격은 KelpDAO의 LayerZero 설정 취약점을 악용한 것입니다. LayerZero를 사용하여 체인 간 토큰을 브리징할 때, 프로토콜은 DVN(분산 검증 네트워크)이라는 것을 사용합니다. DVN은 소스 체인을 감시하여 한쪽에서 토큰이 소각되었는지 확인하고, 대상 체인에 토큰을 방출하도록 지시하는 역할을 합니다. LayerZero 문서에 따르면, 어느 한쪽만으로는 토큰 방출을 승인할 수 없도록 최소 두 개의 독립적인 DVN으로 브리징을 구성해야 합니다. 즉, 두 개의 감시 체계가 필요한 것입니다.
KelpDAO는 그렇게 하지 않았습니다. 그들은 1:1 DVN 설정으로 브리지를 구성했습니다. 3억 9200만 달러 규모의 에스크로에 대한 완전한 권한을 가진 검증자가 단 한 명뿐인 구조입니다. LayerZero는 통합 체크리스트에서 다중 DVN 구성을 명시적으로 권장했습니다 . 하지만 KelpDAO는 기본 설정을 그대로 사용했고, 어떤 이유에서인지 (아마도 자만심 때문이겠죠) 변경하지 않았습니다.
공격자들은 RPC 노드를 공격하여 이 DVN을 조작할 수 있었고, 이를 통해 사실상 116,500 rsETH를 허공에서 생성할 수 있었습니다. 그런 다음 모든 최신 해킹 전략에서 설명하는 것처럼 이를 아베(AAVE) 에 담보로 예치하고 이를 기반으로 실제 이더리움(ETH) 빌렸습니다.
손실 자체보다 그 여파가 훨씬 더 심각했다고 볼 수 있습니다. 아베(AAVE) 48시간 만에 84억 달러의 예금 유출이 발생 했습니다. 전체 DeFi Total Value Locked(TVL) 130억 달러 이상 급감했습니다. Morpho, Spark, Lido, Beefy와 같은 대출 플랫폼은 일부 운영을 중단했습니다. 에이브 토큰(Aave) 17%, ZRO는 12% 하락했습니다.
탈중앙화 금융(DeFi)에 대한 신뢰도는 역대 최저 수준이었으며, 지금도 마찬가지입니다.
4월 해킹 목록 전체
Drift와 KelpDAO가 주요 헤드라인을 장식했지만, 그들만이 아니었습니다. 한 달 동안 약 40건(정말 40건이나 됩니다!)의 개별적인 문제가 업계를 강타했습니다.
이 모든 해킹의 원인은 무엇일까요?
대부분의 프로토콜은 계약을 감사하고, 취약점이 없는지 이중, 삼중, 사중으로 확인하는 등 상당히 능숙해졌으며, 코드의 안전성에 대해 비교적 안심할 수 있게 되었습니다.
하지만 제 생각에는 스마트 계약이 여전히 심각한 문제라는 인식이 다시금 확산되고 있는 것 같습니다. 그리고 앞으로 훨씬 더 큰 문제가 될 것입니다.
미소스에 들어가세요
앤트로픽은 4월 7일 클로드 미토스 프리뷰(Claude Mythos Preview) 라는 새로운 모델을 발표했습니다. 하지만 이 모델은 공개되지 않았고, 가까운 시일 내에 공개할 계획에 대해서도 언급하지 않았습니다.
그들이 그 게임을 공개하지 않은 이유는 그 게임이 너무 강력하기 때문입니다.
앤스로픽의 말을 직접 인용하자면, Mythos는 "가장 숙련된 인간을 제외한 모든 사람을 능가하는" 수준으로 소프트웨어 취약점을 찾아 악용할 수 있습니다. 몇 주간의 테스트를 통해 Mythos는 모든 주요 운영 체제와 주요 웹 브라우저 에서 수천 개의 제로데이 취약점을 발견했습니다. Mythos가 발견한 버그 중 일부는 27년이나 된 것이었습니다. 1990년대 후반부터 코드를 살펴본 모든 인간 보안 연구원이 놓쳤던 버그들을 Mythos는 단 며칠 만 에 찾아냈습니다.
또한 이 프로그램은 앤트로픽 팀을 깜짝 놀라게 한 일들을 저질렀다고 합니다. 한 테스트에서는 네 가지 취약점을 연결하여 자체 보안 샌드박스를 탈출하고 인터넷에 접속한 후, 실험을 진행하던 연구원에게 이메일을 보냈습니다 (참고로, 그 연구원은 당시 공원 벤치에 앉아 샌드위치를 먹고 있었습니다. ㅎㅎ).
그래서 앤트로픽은 Mythos를 공개하는 대신 '프로젝트 글래스윙' 이라는 것을 시작했습니다. 그들은 Mythos를 AWS, 애플, 마이크로소프트, 구글, 엔비디아, JP모건, 시스코, 팔로알토네트웍스, 크라우드스트라이크, 브로드컴, 리눅스 재단 등 기술 업계의 거물급 기업 약 50곳에 제공했습니다.
목표는 Mythos를 사용하여 공격자가 동등한 기능을 손에 넣기 전에 중요 소프트웨어의 취약점을 찾아 패치하는 것이며, 이를 위해 Anthropic은 1억 달러 상당의 사용 크레딧을 제공할 예정입니다.
이것이 암호화폐에 중요한 이유
미소스는 탄광 속 카나리아와 같습니다.
Anthropic은 모델을 공개하는 대신 Glasswing 프로젝트를 진행하는 이유에 대해 상당히 투명하게 공개해 왔습니다. 그들의 주장은 Mythos를 공개하든 안 하든, 이러한 유형의 기능이 6개월에서 18개월 이내에 실제 환경에서 사용될 것이라는 것입니다. OpenAI도 비슷한 것을 개발 중인 것으로 알려져 있으며, 영국 AI 안전 연구소(UK AI Safety Institute)는 이미 GPT-5.5를 평가하여 특정 작업에서 유사한 공격 사이버 능력을 달성했다고 결론지었습니다. 개방형 가중치/로컬 모델 또한 빠르게 발전하고 있습니다.
수비수에게는 유리한 출발점이 필요합니다. 글래스윙의 핵심은 바로 그것입니다.
AWS, 마이크로소프트, 애플은 글래스윙 프로젝트에 참여하고 있습니다. 리눅스 재단도 참여하고 있고요. 그럼 글래스윙 프로젝트에 참여하지 않은 곳은 어디일까요?
여러분이 사용하는 모든 DeFi 프로토콜.
따라서 미소스급 기능이 외부로 유출될 경우(오픈 소스 모델의 따라잡기, 모델 가중치 도용, 또는 탈옥된 클로즈드 소스 모델을 통해 반드시 발생할 것입니다), 첫 번째 공격 대상은 가장 가치가 높으면서도 방어 자원이 가장 부족한 시스템, 즉 모든 암호화폐 생태계가 될 것입니다.
스마트 계약은 설계상 오픈 소스이므로 누구나 읽을 수 있고, 누구나 포크(Fork) 할 수 있으며, 누구나 AI 모델을 실행하여 버그를 찾을 수 있습니다. 27년 된 취약점을 발견한 바로 그 모델은 악용될 가능성이 높은 5년 된 DeFi 계약도 수없이 찾아낼 것입니다.
탈중앙화 금융(DeFi) 프로토콜의 치명적인 취약점을 발견하는 데 6개월이 걸리던 작업이 6시간으로 단축되면 어떻게 될까요? 그리 복잡한 문제가 아닙니다. 해킹 시도가 훨씬 더 많아지겠죠.
다행스러운 점은 버그를 찾아내는 AI 도구가 버그 수정에도 활용될 수 있다는 것입니다. 회계 감사 회사들은 이미 최첨단 모델을 업무에 활용하고 있으며, 프로토콜 팀이라면 지금 바로 이러한 도구를 코드에 적용해 보는 것이 좋습니다.
하지만 이러한 전환에는 시간이 걸리고 순탄치 않을 것입니다. 향후 12개월에서 18개월은 암호화폐 보안에 있어 역사상 가장 위험한 시기가 될 것입니다.
이것이 당신에게 의미하는 바는 무엇일까요?
여러분이 사용하는 모든 프로토콜에는 공격 표면이 존재하며, 앞으로 그 어느 때보다 더 강력한 스캔이 진행될 것입니다. 즉, 사용자로서 여러분은 어떤 프로토콜에 돈을 맡길지, 그리고 얼마나 맡길지를 더욱 신중하게 결정해야 합니다.
솔직히 말해서, 저는 최후의 수단을 쓰기로 했습니다. 안전하다고 느낄 때까지 당분간 모든 DeFi 프로토콜에서 모든 자산을 인출할 생각입니다. 이런 말을 하기는 싫지만, 지금으로서는 은행 예금 계좌에 현금을 넣어두는 게 가장 안전한 선택처럼 느껴집니다.
암호화폐는 아직 초기 단계이고, 저는 여전히 DeFi의 미래를 굳게 믿습니다. 하지만 제 생각에 현재 시기는 지나치게 위험하며, 보상이 위험보다 크지 않습니다.
상당한 금액의 자금에 대한 단 한 번의 해킹으로 10년 이상 (어쩌면 그보다 훨씬 더) 쌓아온 수익이 날아갈 수 있습니다.
이 시기를 견뎌낸 프로토콜은 몇 년 후 훨씬 더 강력해질 것이며, 훨씬 더 많은 신뢰를 구축하게 될 것입니다.
이 시기를 살아남는 사용자들은 자신의 보안을 진지하게 생각하는 사용자들일 것입니다.
마지막으로
저는 4월에 발생한 해킹 사건에 대해 이야기하고 AI의 위험성을 경고하기 위해 이 편지를 쓰기 시작했습니다. 하지만 더 자세히 알아볼수록 4월의 수치는 오히려 후행 지표에 가깝다는 것을 깨달았습니다. 여전히 예전 방식대로 소셜 엔지니어링 공격이 대부분의 피해를 발생시켰고, 그 외에는 스마트 계약 관련 소규모 해킹이 증가하고 있는데, 이는 앞으로 닥칠 위험을 예고하는 신호탄일 뿐입니다.
다음 물결은 이전과는 다를 것입니다. AI 기반 버그 발견이 전례 없는 규모로 이루어져 프로토콜이 패치하기보다 빠르게 코드 수준의 취약점을 찾아낼 것입니다. Mythos는 우리에게 다가올 변화를 보여주었고, Anthropic이 책임감 있는 행동으로 접근을 제한하는 것은 오히려 우리에게 도움이 되지 않을 수도 있습니다. 세계 최대 기술 기업들에게는 이익이 될지 몰라도, 대부분의 DeFi 사용자에게는 별 도움이 되지 않습니다.
이번 주에 (이상적으로는 오늘) 한 시간 정도 시간을 내어 보유하고 있는 모든 온체인 자산과 모든 프로토콜에 있는 자금을 점검하고, 자금을 인출하여 콜드 스토리지 에 보관하는 것을 강력히 권장합니다.
좀 더 희망적인 이야기로 마무리하고 싶지만, 솔직히 말해서 암호화폐 보안은 쉬워지기 전에 더 어려워질 전망입니다.
행운을 빌고, 무사히 마치시길 바라며, 언제나처럼 읽어주셔서 감사합니다.
면책 조항: 본 뉴스레터의 내용은 투자 조언으로 간주되어서는 안 됩니다 . 저는 금융 자문가가 아니며, 이는 단지 저의 개인적인 의견과 생각일 뿐입니다. 암호화폐 관련 상품 거래 또는 투자 전에 반드시 전문 금융 자문가와 상담하시기 바랍니다. 공유된 링크 중 일부는 제휴 링크일 수 있습니다.
