트루빗, 스마트계약 결함으로 약 380억 원 해킹 피해…TRU 토큰 99% 폭락

스마트계약 결함으로 발생한 ‘트루빗 해킹’, 약 380억 원 피해

블록체인 프로젝트 트루빗(Truebit)이 스마트계약의 치명적인 결함으로 인해 약 380억 원 규모의 토큰이 탈취되는 사고를 겪었다. 출범 5년이 넘은 프로젝트에서 발생한 이 사고는 오랜 시간 운영된 프로토콜이라 해도 보안 취약점에서 자유롭지 않다는 점을 다시 한번 보여줬다.

지난 금요일(현지시간), 코인텔레그래프는 트루빗이 약 2,600만 달러(약 383억 원) 상당의 해킹 공격을 받았으며, 이후 트루빗(TRU) 토큰 가격이 약 99% 폭락했다고 보도했다. 공격자는 프로토콜 내부에 존재하던 스마트계약 내 논리적 허점을 악용했으며, 이로 인해 이더리움(ETH) 비용을 거의 지불하지 않고 대규모 토큰을 발행할 수 있었다고 알려졌다.

블록체인 보안 기업 슬로우미스트(SlowMist)의 분석에 따르면, 문제는 ‘오버플로우 방지’가 적용되지 않은 정수 덧셈 연산에 있었다. TRU 토큰 구매와 관련된 스마트계약 내 계산 기능에서 오류가 발생했고, 그 결과 요청되는 이더리움 금액이 0에 가깝게 책정됐다. 해커는 이 취약점을 이용해 거의 무상으로 TRU 토큰을 대량으로 발행했고, 이를 통해 총 2,600만 달러의 가치를 탈취한 것이다.

슬로우미스트는 해당 스마트계약이 구형 솔리디티(Solidity) 컴파일러 버전인 0.6.10으로 작성됐으며, 이는 기본적인 오버플로우 방지 기능이 내장되지 않은 점을 지적했다. 이 버전에서는 계산 값이 uint256 자료형의 최대치를 초과할 경우 자동으로 0에 가까운 값으로 순환(wrap around)되는 문제가 발생하며, 이로 인해 공격자가 코드상의 허점을 손쉽게 악용할 수 있었다는 것이다.

트루빗은 2021년 4월 이더리움 메인넷에 정식 출범했으며, 비교적 오랜 운영 기간과 높은 기술 신뢰도를 앞세워 사용자를 끌어모아왔다. 그러나 이번 사고는 유명 프로젝트라도 스마트계약 보안 측면에서 안심할 수 없다는 점을 극명하게 드러냈다.

AI도 공격 가능성 입증…스마트계약 검증 중요성 부각

스마트계약 보안 문제는 지난해 더욱 집중 조명을 받았다. AI 개발사 앤트로픽(Anthropic)의 보고서에 따르면, 상용화된 인공지능 에이전트들이 단독으로 약 460만 달러(약 67억 원) 규모의 스마트계약 공격을 설계해 낼 수 있는 것으로 나타났다. 이 실험에는 앤트로픽의 ‘클로드(CLAUDE) 오퍼스 4.5’ 및 ‘소넷 4.5’, 오픈AI의 GPT-5가 참여했다.

2025년 한 해 동안 발생한 암호화폐 해킹 사건에서도 스마트계약 취약점은 가장 주요한 공격 벡터로 작용했다. 슬로우미스트가 연말 발표한 보고서에 따르면, 총 56건의 해킹이 스마트계약 결함과 관련돼 있었으며 이는 전체 보안 사고의 약 30.5%를 차지했다. 두 번째로 큰 비중은 계정 탈취(50건, 24%)였고, 개인 키 유출이 세 번째(8.5%)로 뒤를 이었다.

코드가 아닌 사람 노린 피싱도 여전한 위협

한편, 디지털 자산 범죄의 양상이 점차 바뀌고 있다는 분석도 나왔다. 슬로우미스트에 따르면, 점점 더 많은 해커들이 복잡한 코드 공격 대신 사용자 심리를 이용한 ‘온체인(온체인상) 사회공학’ 기법으로 전환하고 있다.

특히 피싱 사기는 2025년 두 번째로 큰 위협으로 부상했으며, 총 248건의 사건으로 약 7억 2,200만 달러(약 1조 647억 원)에 달하는 피해가 발생했다. 이 수치는 전년 대비 38% 감소했지만 여전히 높은 수준이다. 블록체인 보안 플랫폼 서틱(CertiK)에 따르면, 피싱 공격은 악성 코드 삽입 없이 단순히 잘못된 링크를 통해 피해자의 지갑 정보를 빼내는 방식으로 진행되며, 많은 사용자가 주의를 기울이지 못해 피해가 반복되고 있다.

이번 트루빗 해킹 사례는 기술적으로 얼마나 정교하게 설계된 프로젝트라 해도 보안 검증이 끊임없이 이루어져야 한다는 점을 재확인시켜 준다. 동시에 피싱과 같이 사람의 실수를 노리는 수법의 위험성 또한 커지고 있어, 보안 체계는 기술과 사용자 교육을 아우르는 전방위 대응이 요구된다.

💡 "코드는 영원하지 않다, 보안까지 배우는 진짜 투자자 되기"

트루빗 해킹 사건은 프로젝트의 역사나 이름값만으로는 보안 리스크를 피해갈 수 없다는 사실을 여실히 보여줍니다. 스마트계약 한 줄의 실수가 수백억 원의 손실로 이어지는 시장에서, 단순한 매매 기술보다 더 우선되어야 할 것은 '리스크 예방 능력'입니다.

토큰포스트 아카데미는 당신의 자산을 지킬 수 있는 '보안 감수성'과 '실전 검증력'을 길러드립니다.

• 2단계: The Analyst (분석가) 과정에서는 토크노믹스 구조 속 취약점을 판별하고, 과도한 인플레이션이나 내부자 락업 변수 등 해킹 이전에 탈출할 수 있는 판단력을 키웁니다.

• 5단계: The DeFi User (디파이 이용자) 과정에서는 스마트계약 기반 디파이 서비스의 작동 원리와 위험 계산(LTV, 유동성 풀 손실 등)을 학습하며, 탈중앙화 금융에서도 안전하게 수익을 창출하는 법을 익힙니다.

• 6단계: The Professional (선물/옵션) 모듈에서는 무분별한 레버리지 투자에 앞서, 포지션 청산 방지와 리스크 관리 원칙부터 철저히 다룹니다.

약 380억 원의 해킹, 99% 폭락... 그러나 사전에 배웠다면 피할 수 있었습니다.

기회는 준비된 투자자에게만 온다는 진리는 2026년에도 유효합니다.

'펀더멘털'뿐 아니라 '보안 구조와 리스크'까지, 토큰포스트 아카데미에서 체계적으로 배워보세요.

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 지갑 보안부터 스마트계약 해킹 대응, 디파이 리스크 계산까지

혜택: 월 2만 원 멤버십 가입 시 첫 달 1,000원으로 모든 강의 무제한 수강

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai

🔎 시장 해석

Truebit 해킹 사건은 오랫동안 운영되던 블록체인 프로토콜도 스마트 계약의 설계 미비로 인해 큰 피해를 입을 수 있음을 보여주었습니다. TRU 토큰의 99% 이상 가치 하락은 투자자 신뢰에 큰 타격을 주었고, 보안 점검의 중요성을 강화시켰습니다.

💡 전략 포인트

✔️ 개발자들은 최신 버전의 Solidity와 같이 내장 오버플로우 보호 기능을 제공하는 도구를 사용하는 것이 필수적입니다.

✔️ 스마트 계약 배포 전 외부 보안 감사는 반드시 수행해야 하며, 정기적인 코드 점검도 필요합니다.

✔️ 투자자는 프로젝트의 기술적 기반과 감사 유무 등을 판단 요소로 삼아야 합니다.

📘 용어정리

- 오버플로우(Overflow): 정수 계산에서 지정된 범위를 넘어서 값이 ‘0’ 근처로 되돌아가는 현상

- 스마트 계약(Smart Contract): 블록체인에서 자동으로 실행되는 프로그램

- Solidity: 이더리움 기반 스마트 계약 프로그래밍 언어

- uint256: 2^256까지 표현 가능한 부호 없는 정수 자료형, 스마트 계약에서 주로 사용됨

💡 자주 묻는 질문 (FAQ)

Q.

Truebit의 해킹은 어떤 방식으로 일어난 건가요?

Truebit의 스마트 계약에는 정수 덧셈 계산에 오버플로우 방지가 없었기 때문에, 공격자는 계산 결과가 잘못 나오는 점을 이용해 거의 0에 가까운 비용으로 대량의 TRU 토큰을 발행할 수 있었습니다. 이로 인해 2,600만 달러 상당의 자산이 유출되었습니다.

Q.

이러한 보안 문제를 방지하기 위해 프로젝트는 무엇을 해야 하나요?

스마트 계약을 개발할 때 최신 버전의 언어를 사용하고, 외부 보안 기관의 감사를 필수적으로 받아야 합니다. 또한 배포 후에도 지속적인 점검과 버그 바운티 프로그램 운영 등을 통해 잠재적 위험을 사전에 차단하는 것이 중요합니다.

Q.

해킹 이후 TRU 토큰 투자자들은 어떤 조치를 취할 수 있나요?

현재로서는 프로젝트 측의 대응을 기다리는 수밖에 없습니다. 만약 피해 복구 계획이 수립되거나 토큰 스왑 등 보상 절차가 공지된다면 이에 따라야 하며, 거래소에 상장된 TRU 거래도 중단될 수 있기 때문에 신속한 대응이 필요합니다. 가능하다면 피해 집단이 모여 법적 대응을 준비하는 것도 방법입니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.