트루빗, 스마트컨트랙트 취약점에 383억 원 탈취…토큰 99% 폭락

2026년 1월 13일 22:47:40 | 서도윤 기자

스마트컨트랙트 취약점이 부른 2600만달러 피해…트루빗 해킹 전말

온체인 계산 프로토콜 트루빗(Truebit)이 스마트컨트랙트 결함으로 인해 약 2600만달러(약 383억 원) 규모의 토큰이 무단 발행되는 해킹 피해를 입었다. 보안 기업 슬로우미스트(SlowMist)는 이번 사고가 오래된 솔리디티(Solidity) 컴파일러 버전에서 비롯된 정수 연산 오버플로우 오류 때문이라고 분석했다.

코인텔레그래프 보도에 따르면, 트루빗은 해당 취약점으로 인해 핵심 토큰인 TRU의 가치가 99% 폭락하는 타격을 입었다. 슬로우미스트는 9일(현지시간) 발표한 보안 분석 리포트에서 “공격자가 스마트컨트랙트의 논리적 허점을 악용해 거의 아무런 이더리움(ETH) 비용도 지불하지 않고 대량의 TRU 토큰을 민팅했다”고 밝혔다.

트루빗의 ‘퍼체이스(Purchase)’ 컨트랙트는 오버플로우 보호 장치가 없는 정수 덧셈 연산을 사용하고 있었으며, 이로 인해 민팅 가격 계산이 잘못돼 필요한 ETH 수량이 0에 수렴하는 결과를 낳았다. 해커는 이를 이용해 사실상 공짜로 TRU를 민팅하고, 컨트랙트 내부의 예치금을 모두 탈취했다.

슬로우미스트는 “컨트랙트가 솔리디티 0.6.10 버전으로 컴파일됐는데, 이 버전에는 오버플로우 자동 감지 기능이 없어 ‘uint256’의 최대값을 초과하는 연산이 발생하면 값이 0 인근으로 ‘랩 어라운드(wrap around)’되는 문제가 생긴다”고 지적했다.

핵심 개발자들이 오랫동안 유지해온 스마트컨트랙트 프로젝트에서도 기본적인 보안 점검 미비로 대규모 피해가 발생할 수 있다는 점이 다시금 확인됐다.

美 상원의원 “개발자에 송금업자 규제 적용 안 돼”

한편, 미국 상원의원 신시아 루미스(Cynthia Lummis)와 론 와이든(Ron Wyden)은 블록체인 개발자 보호를 위한 신규 입법안 ‘블록체인 규제 명확성법(BRCA)’을 발의했다.

이번 법안은 사용자 자금에 직접 접근하지 않는 소프트웨어 개발자나 네트워크 운영자에게는 연방 및 주 수준의 송금업자 규제를 적용하지 않도록 명시하고 있다.

루미스 의원은 “현행 불분명한 규제 환경은 혁신의 해외 유출을 부르고 있으며, 무해한 개발자들까지 돈세탁 혐의로 기소당할 위험에 놓이게 한다”며 “이번 법안은 이들을 보호하고 미국 내 디지털 금융 산업의 안착을 지원하려는 목적”이라고 설명했다.

실제로, 지난해 믹싱 프로토콜 토네이도캐시(Tornado Cash) 공동창업자 로만 스톰과 알렉세이 퍼체프는 ‘무허가 송금사업 운영’ 혐의로 유죄 판결을 받은 바 있다. 이에 따라 오픈소스 개발자들의 형사처벌 가능성이 암호자산 업계 내 우려로 떠올랐다.

트럼프 연계 디파이 프로젝트, 3.4조 규모 스테이블코인으로 대출시장 진출

도널드 트럼프 대통령 가족과 연관된 디파이 플랫폼 ‘월드리버티파이낸셜(World Liberty Financial)’이 본격적으로 암호화폐 대출 시장에 뛰어들며 주목받고 있다.

블룸버그에 따르면, 해당 프로젝트는 최근 ‘월드리버티마켓(World Liberty Markets)’이라는 새로운 온체인 대출 서비스를 출범시켰다. 이 플랫폼은 트럼프 연계 스테이블코인 USD1와 거버넌스 토큰 WLFI를 기반으로, 사용자가 이더리움(ETH), 비트코인(BTC) 토큰화 자산, USD코인(USDC), 테더(USDT) 등 주요 디지털 자산을 담보로 대출 또는 예치할 수 있도록 설계됐다.

공동 창업자 잭 폴크먼(Zak Folkman)은 블룸버그와 인터뷰에서 “시간이 지나면서 실물자산 기반 토큰까지 담보군에 포함될 예정이며, 예측시장·거래소·부동산 플랫폼과의 파트너십도 추진 중”이라고 말했다.

월드리버티는 최근 미국 통화감독청(OCC)에 ‘전국 신탁은행 헌장’ 신청서를 제출한 상태다. 만약 허가를 받게 되면 USD1의 법적 신뢰성과 활용성이 크게 제고돼, 국경 간 결제 및 기업 재무 전반에서 활용이 확대될 전망이다.

이번 대출시장 진출은 규제 명확화에 따른 온체인 금융 활성화 가능성을 반영하며, 트럼프 행정부와 연관된 암호화폐 프로젝트가 다시 전면에 등장하고 있음을 보여주는 신호탄으로도 해석된다.

💡 “보안도 전략이다… 해킹을 피하는 투자자의 무기, 토큰포스트 아카데미에서”

트루빗 Truebit 해킹 사태는 스마트컨트랙트 구성 단계에서의 사소한 실수가 2600만 달러(383억 원) 피해로 이어질 수 있음을 보여주는 대표적 사례입니다. 많은 프로젝트가 여전히 오버플로우 방지 없이 구형 컴파일러를 사용하고, 투자자들은 내부 구조를 모른 채 리스크를 떠안고 있습니다.

토큰포스트 아카데미는 이런 구조적 리스크를 간파할 수 있는 교육 과정으로 ‘검증 가능한 투자자’를 양성합니다.

특히 2단계: The Analyst (분석가) 과정에서는 다음을 실전으로 배웁니다.