탈중앙화 금융은 지난 6년 동안 훨씬 더 안전해졌으며, 2020년부터 2025년까지의 프로토콜 손실에 대한 새로운 분석 결과는 이러한 주장을 뒷받침하는 상당한 수치를 보여줍니다.
탈중앙 금융(DeFi) 업계 전반의 손실액은 2022년 26억 2천만 달러로 정점을 찍은 후 2024년에는 약 80% 감소한 5억 3천4백만 달러로 줄어들었습니다. 한때 수십억 달러 규모의 손실을 초래했던 브리지 해킹은 이제 연간 총 손실액에서 극히 일부만을 차지하며, 오늘날 일반적인 해킹 공격으로 인한 피해액은 정점 당시의 4분의 1 수준입니다.
이는 암호화폐 업계에 분명히 좋은 소식이지만, 여전히 상당한 위험이 남아 있습니다. 다만 그 위험이 나타나는 방식이 다를 뿐입니다. 주요 프로토콜들은 이제 이더리움, 베이스, 아비트럼, 폴리곤, OP 메인넷, 소닉 등 여러 플랫폼에 동일한 코드를 배포하는 경우가 많습니다. 따라서 단 하나의 결함이라도 해당 프로토콜을 사용하는 모든 네트워크에서 동시에 자금을 유출시킬 수 있으며, 이것이 바로 암호화폐 업계의 차세대 시스템적 문제가 발생할 가능성이 높은 형태입니다.
우리는 작년 11월에 Balancer의 V2 컴포저블 스테이블 풀에서 약 1억 2,800만 달러가 6개의 블록체인에서 동시에 30분도 채 안 되는 시간에 빠져나가는 것을 목격했습니다.
체크포인트 리서치에 따르면 공격자는 풀의 불변 계산에서 발생하는 산술 정밀도 결함을 악용하여 토큰 잔액을 반올림 경계선까지 밀어붙인 다음, 이러한 작은 오류들이 누적되어 결국 전체 토큰이 고갈되는 사태를 초래하는 일련의 일괄 스왑을 실행했습니다.
동일한 취약점을 가진 계약들이 이더리움, 아비트럼, 베이스, 폴리곤, 소닉, OP 메인넷에 배포되었기 때문에, 해당 취약점이 코드 자체에 내재되어 있었고 그 코드가 모든 곳에 복사되어 있었으므로, 이 공격은 모든 플랫폼에 동시에 영향을 미쳤습니다.
당시 CryptoSlate가 보도했듯이, 11건의 별도 감사에서도 이 버그를 발견하지 못했는데, 이는 이러한 유형의 버그가 얼마나 교묘해졌는지, 그리고 이전의 공격보다 예측하기가 왜 훨씬 더 어려운지를 보여줍니다.
해킹은 연결 고리가 늘어날수록 규모가 작아졌다.
고무적인 점은 암호화폐 초창기를 특징지었던 저렴하고 반복 가능한 공격들이 대부분 사라졌다는 것입니다. 또한 DeFi의 TVL이 계속 증가하는 와중에도 총 손실액은 2년 만에 80% 감소했습니다. 사건당 평균 손실액 역시 2022년 600만 달러에서 2025년 150만 달러로 75%나 급감했습니다.
실제로 2025년에는 개별 사건 발생 건수가 83건으로 증가했는데, 이는 해킹 발생 횟수는 늘어나지만 각각의 피해는 훨씬 줄어들고 있다는 것을 의미합니다. 이는 보안 분야가 성숙해짐에 따라 나타나는 전형적인 모습입니다.
2021년과 2022년에는 브릿지 취약점이 가장 큰 문제였으며, 특히 2022년에는 9건의 브릿지 공격으로 19억 달러의 손실이 발생했습니다. 이러한 해킹 사건들은 암호화폐 역사상 최악의 순간 중 하나였으며, 로닌 브릿지(Ronin Bridge) 공격만으로도 6억 2,400만 달러의 손실이 발생했습니다.
CryptoSlate는 자금이 Tornado Cash를 거쳐 Binance Bridge(5억 7천만 달러), Wormhole(3억 2천 6백만 달러), Nomad(1억 9천만 달러), Harmony(1억 달러), Qubit(8천만 달러) 순으로 이동하는 것을 온체인에서 추적했습니다.
이는 그해 전체 DeFi 손실의 73%를 차지했으며, 개선된 검증 메커니즘, 분산형 검증자 세트, 그리고 네이티브 크로스체인 메시징으로의 광범위한 전환 덕분에 2025년에는 브리지의 점유율이 3%로 급감했습니다.
플래시론 공격도 비슷한 경로를 밟았습니다. 2020년에는 대표적인 DeFi 공격 기법으로 전체 손실의 54%를 차지했지만, 프로토콜들이 시간 가중 평균 가격, 체인링크 오라클 통합, 재진입 방지 장치, 공격자가 단일 원자적 거래 내에서 가격을 조작할 수 있다는 가정을 기반으로 한 설계 등 해당 공격에 특화된 방어책을 도입함에 따라 2025년에는 1% 미만으로 감소할 것으로 예상됩니다.
개인 키 유출 또한 비슷한 감소세를 보이며 2022년 전체 손실의 28.7%에서 2025년 8.1%로 줄어들었습니다. 이러한 감소세는 모두 동일한 근본적인 이유에서 비롯되었는데, 바로 업계가 반복적인 패턴을 인식하고 이에 대한 표준화된 해결책을 마련했기 때문입니다. 크립토슬레이트(CryptoSlate)의 2025년 연말 분석에서도 이러한 해결책이 대체로 유효하다는 점이 확인되었습니다.
남은 부분은 방어하기가 더 어렵습니다.
일반적인 공격 유형을 차단하고 나니 훨씬 더 어려운 유형이 남았습니다. 2025년에는 DeFi 손실의 89.1%가 프로토콜 로직 취약점, 즉 특정 애플리케이션 설계 방식의 코드 수준 결함에서 발생할 것으로 예상됩니다. 브리지 해킹은 명확한 신뢰 가정을 전제로 하고, 플래시론 공격은 잘 알려진 공격 기법 계열에 속하므로, 두 공격 모두 재사용 가능한 패턴으로 방어할 수 있습니다.
하지만 프로토콜 논리 버그는 본질적으로 맞춤형입니다. 특정 코드베이스의 수학적 계산, 접근 제어 또는 구성 가능성 선택에서 발생하기 때문에 체계적으로 방어하기 어렵습니다. 각 사례가 고유한 퍼즐과 같고 이전 사례와 공통점이 거의 없기 때문입니다.
멀티체인 배포는 이러한 특정 버그 하나를 본격적인 위기로 키우는 요인입니다. ImmuneFi의 보고서는 2021년 발생한 약 6억 1100만 달러 규모의 폴리 네트워크(Poly Network) 해킹 사건과 2025년 밸런서(Balancer) 사태 사이의 직접적인 연관성을 지적합니다.
폴리 네트워크는 시스템 간 연결 지점, 즉 브리지가 만들어내는 병목 현상에서 실패한 반면, 밸런스는 코드, 서명자 경로, 검증 가정 등을 공유하는 네트워크 전반에서 동일한 논리가 실패한 사례입니다. 어떤 체인이 주요 프로토콜의 기본 배포 맵에 포함되면, 자체 인프라가 아무리 견고하더라도 해당 체인이 호스팅하는 모든 것의 위험을 고스란히 떠안게 됩니다.
이는 생태계의 안전성을 측정하는 방식을 바꾸며, 보고서의 방법론은 모든 6개 네트워크의 참여자들이 완전한 영향을 받았다는 논리에 따라 멀티체인 공격으로 인한 모든 손실을 영향을 받은 각 체인에 귀속시킴으로써 이를 보여줍니다.
하지만 그 대가로 폴리곤, OP 메인넷, 베이스, 소닉의 2025년 해킹 수치는 밸런서 캐스케이드의 영향을 크게 받습니다. 또한 이 보고서는 중앙 집중식 거래소 장애를 완전히 제외했는데, 이 때문에 FBI가 북한 소행으로 지목한 15억 달러 규모의 바이비트 해킹 사건(2025년 기준)이 프로토콜 오류가 아닌 관리 부실로 분류된 것입니다.
총 예치자산(TVL) 대비 손실률 기준으로 주요 생태계 중 가장 안전한 그룹은 이더리움(약 0.42%), 솔라나(0.42%), BNB 체인(0.33%) 순으로 나타났습니다. 이 세 그룹은 예치자산 규모 기준으로 가장 큰 DeFi 생태계이며, 이는 규모와 보안이 서로를 희생시키면서가 아니라 함께 개선되어 왔음을 시사합니다.
이러한 변화는 일반적인 프로토콜에는 훨씬 더 나은 결과를 가져오지만, 일반 사용자에게는 그다지 좋지 않습니다. 이제 다른 곳에서 유입된 결함을 가진 앱에서 손실이 발생할 수 있으며, 멀티체인 앱의 매력인 편리함 때문에 이러한 오류가 로컬에서 공유되는 오류로 확산될 수 있습니다.
암호화폐 업계가 이처럼 여러 개의 개별 체인을 만들어낸 이유 중 하나는 단일 시스템에 의존하는 것을 피하기 위해서였는데, 아이러니하게도 이 모든 체인에서 소수의 인기 프로토콜을 그대로 사용하는 것이 오히려 이러한 체인들이 벗어나고자 했던 집중 현상을 다시 만들어냈다는 것입니다.
다음으로 발생할 대형 사고는 발생 당일에는 사소해 보일 수 있습니다(널리 배포된 프로토콜의 논리적 버그 하나). 하지만 사람들이 동일한 취약한 코드가 그동안 여러 네트워크에 퍼져 있었다는 사실을 깨닫게 될 때 비로소 그 진정한 규모가 드러납니다.
