올해 들어 3개월 만에 DeFi 프로토콜 34곳에서 1억 6,900만 달러가 증발했어요. DefiLlama가 집계한 수치인데요, 작년 같은 기간보다 오히려 피해 규모가 커졌다는 게 충격적이죠. DeFi 보안이 여전히 업계 최대 아킬레스건이라는 걸 다시 한번 확인하는 분기였습니다.
스마트 컨트랙트 취약점, 여전히 해커들의 주요 타깃
이번 분기 해킹 사례를 보면 대부분 스마트 컨트랙트 코드 결함에서 시작됐어요. 특히 크로스체인 브릿지와 대출 프로토콜이 집중 공격을 받았죠. 한 프로토콜은 오라클 조작으로 3,500만 달러를 날렸고, 다른 곳은 재진입 공격(reentrancy attack)으로 2,100만 달러가 빠져나갔습니다.
Compound Finance 포크 프로젝트 하나가 검증되지 않은 외부 호출 함수 때문에 1,800만 달러 피해를 본 사례도 있어요. 코드 감사를 두 번이나 받았다는데 결국 뚫렸죠. 감사 업체 선정과 사후 모니터링이 얼마나 중요한지 보여주는 케이스예요.
크로스체인 브릿지, 가장 위험한 인프라로 재확인
전체 피해액의 40% 가량이 크로스체인 브릿지에서 발생했습니다. 이더리움-BNB Chain 간 자산 이동을 담당하는 한 브릿지는 서명 검증 로직 오류로 6,700만 달러를 잃었어요. 멀티시그 지갑 임계값 설정이 잘못돼 해커가 단독으로 트랜잭션을 승인할 수 있었던 거죠.
LayerZero나 Wormhole 같은 메이저 프로토콜은 무사했지만, 신생 브릿지들은 여전히 보안 투자가 부족해 보여요. TVL(Total Value Locked)이 1억 달러 넘는 프로젝트조차 제대로 된 버그 바운티 프로그램이 없는 경우가 많습니다.
IMF 보고서가 지적한 토큰화 리스크, 현실로
IMF가 최근 발표한 보고서에서 토큰화는 금융 효율성을 높이지만 새로운 리스크를 도입한다고 경고했는데요, 딱 그 말이 맞아떨어진 분기였어요. RWA(Real World Asset) 토큰화 프로젝트 두 곳이 스마트 컨트랙트 버그로 각각 900만, 1,200만 달러 손실을 기록했습니다.
전통 금융 자산을 블록체인에 올리면서 법적 청구권과 온체인 토큰 간 괴리가 생기는 문제도 불거졌죠. 한 부동산 토큰화 플랫폼은 해킹당한 뒤 실물 자산 소유권 회복에 법적 분쟁까지 겪고 있어요. 토큰화가 대세라지만 법률-기술 통합 프레임워크는 아직 갈 길이 멀다는 방증입니다.
비트코인 수익 물량, 진짜 약세장 수준 진입
DeFi 해킹 소식과 맞물려 비트코인 온체인 데이터도 심상치 않아요. 현재 수익 상태인 BTC 공급량 비율이 역사적 약세장 수준으로 떨어졌거든요. Glassnode 데이터 기준 전체 유통량의 58%만 수익권에 있는데, 이건 2022년 말 FTX 사태 이후 최저치예요.
장기 보유자(Long-term Holder)들도 물량을 쌓기보다 분산 매도에 나서는 움직임이 포착됐고요. 공포탐욕지수는 30대 초반까지 내려앉았습니다. 가격이 더 빠질 여지가 있다는 신호로 읽히죠. 다만 역사적으로 이런 구간이 중장기 저점 형성 구간이었던 만큼, 분할 매수 전략을 고민할 타이밍이기도 해요.
AI 기반 보안 솔루션, DeFi 필수 인프라 될까
이번 해킹 피해를 계기로 AI 보안 솔루션 도입 논의가 급물살을 타고 있어요. Forta Network 같은 실시간 위협 탐지 프로토콜 활용이 늘고 있고, ChatGPT 기반 코드 감사 툴도 여러 프로젝트에서 테스트 중이죠. Certik이나 Hacken 같은 감사 업체들도 머신러닝 모델을 도입해 자동화된 취약점 스캐닝 서비스를 강화하고 있습니다.
다만 AI도 만능은 아니에요. 로직 버그나 비즈니스 모델 자체의 결함은 사람이 판단해야 하는 영역이거든요. 결국 AI 도구와 숙련된 보안 전문가의 협업이 답이라는 게 업계 중론입니다. 프로젝트 선택할 때 ‘어떤 감사 받았나’뿐 아니라 ‘감사 후 어떻게 모니터링하나’까지 체크해야 할 시점이에요.
투자자가 챙겨야 할 실전 체크리스트
DeFi 프로젝트 투자 전에 꼭 확인해야 할 항목 몇 가지 정리해드릴게요. 먼저 컨트랙트 감사 이력을 확인하세요. Trail of Bits, OpenZeppelin, Consensys Diligence 같은 톱티어 업체 감사를 받았는지가 중요합니다. 감사 보고서 원본을 직접 읽어보는 습관도 들이면 좋아요.
TVL 대비 해킹 보험 가입 여부도 체크 포인트죠. Nexus Mutual이나 InsurAce 같은 온체인 보험 프로토콜과 제휴했는지 확인하면 최소한의 안전장치는 있다고 볼 수 있어요. 버그 바운티 프로그램 운영 여부와 보상 규모도 프로젝트 보안 의지를 가늠하는 지표입니다.
마지막으로 멀티시그 지갑 구성과 타임락 설정 확인은 필수예요. 단일 개인이 자금을 통제할 수 없는 구조인지, 긴급 상황 대응 프로토콜이 문서화돼 있는지 보면 프로젝트 성숙도가 보입니다. 귀찮아도 이 정도는 체크하고 돈을 넣어야 손실 확률을 줄일 수 있어요.
DeFi는 여전히 높은 수익 기회를 제공하지만, 그만큼 리스크도 크다는 걸 잊으면 안 돼요. 이번 1분기 사례들이 주는 교훈은 명확합니다. 기술적 이해 없이 APY 숫자만 보고 뛰어들면 언제든 청산당할 수 있다는 거죠. 보안은 선택이 아니라 생존의 문제예요.
#bitcoin #ethereum #blockchain #코인 #DeFi #투자 #보안 #AI