300억 원 탈취… 솔라나 디파이 스텝파이낸스 '지갑 권한' 해킹 충격

솔라나 디파이 플랫폼 스텝파이낸스, 300억 원 규모 해킹 피해

솔라나(SOL) 기반 디파이 플랫폼 스텝파이낸스(Step Finance)가 약 300억 원 상당의 자금이 탈취되는 해킹 공격을 당했다. 이 사건은 플랫폼 지갑이 외부 공격자에게 직접 접근당하면서 발생했으며, 스마트 계약 취약점이 아닌 ‘지갑 권한 탈취’ 방식이라는 점에서 업계에 충격을 주고 있다.

스텝파이낸스 측은 금요일 아시아 태평양 거래 시간대에 여러 개의 재무 및 수수료 지갑이 고도화된 공격자에게 침해당했으며, 이로 인해 약 26만 1,854 SOL(약 300억 원)이 도난당했다고 밝혔다. 보안 전문업체 서티크(CertiK)는 공격자가 스테이킹 권한을 이전한 후 자금을 외부 지갑으로 인출했다고 분석했다.

공격 직후, 해당 플랫폼의 토큰인 STEP 가격은 불확실성이 확산되며 하루 만에 90% 넘게 폭락했다. 시장은 이번 사건을 단순 해킹이 아닌 ‘내부 정보를 이용한 탈출 사기(exit scam)’ 가능성도 제기하고 있다. 특히 공격자가 스마트 계약이 아니라 실제 지갑 접근 권한을 가졌다는 점이 논란의 중심이다.

‘긴급 대응 체계’ 가동…당국에 즉시 통보

스텝파이낸스는 공식 SNS를 통해 “잘 알려진 공격 벡터를 통해 당사의 재무 및 수수료 지갑들이 침해당했다”며 “피해 범위를 줄이기 위해 즉각적인 조치와 보안 전문가들과의 협업이 진행 중”이라고 밝혔다. 플랫폼은 사건 즉시 긴급 대응 체계를 가동하고, 보안 업체들과 협력해 조사에 착수한 상태다.

솔라나 생태계 미디어인 솔라나플로어는 체인상 데이터를 인용해 “해커는 스테이킹을 해제한 후 자금을 이동시켰으며, 이는 지갑 권한을 완전히 장악했다는 의미”라고 전했다. 스텝파이낸스는 관련 당국에도 사건 발생 사실을 통보한 것으로 알려졌다.

리모라마켓 등 타 프로토콜로 확산

이번 해킹은 단순히 스텝파이낸스에 국한되지 않고, 연계된 플랫폼으로 여파가 확산되고 있다. 리모라마켓(Remora Markets)은 “당일 대다수 유동성공급자(LP)로 있는 스텝파이낸스가 해킹을 당했으며, 일부 자산은 리모라 rStocks와 연관돼 있다”고 밝혔다. 다만 자체 중개 계좌에서 리모라 자산은 1:1로 보관 중이며, 환매 절차를 준비 중이라고 공지했다.

시장 반응은 냉정했다. 투자자들의 불신은 즉각적으로 가격 하락으로 이어졌고, STEP 토큰은 사실상 ‘거래불능’ 수준으로 가치가 증발했다. 플랫폼의 지속 가능성과 사건의 진실성을 둘러싼 의혹이 커지고 있다.

2026년 1월, ‘디파이 암흑의 달’로 기록

이번 사건은 1월 한 달간 폭증한 디파이 해킹 사건 가운데 하나다. 서티크가 발표한 2026년 1월 보안 보고서에 따르면, 이달에만 약 3억 7,030만 달러(약 5,381억 원)의 피해가 발생했다. 이 가운데 피싱 사기로만 3억 1,130만 달러(약 4,523억 원)가 유출됐다.

대표적 사건으로는 트루빗(Truebit)의 2,660만 달러(약 386억 원) 해킹, 스왑넷(SwapNet)의 1,330만 달러(약 193억 원) 탈취, 사가(Saga)의 620만 달러(약 90억 원) 손실, 마키나 파이낸스(Makina Finance)의 플래시론 공격 피해 420만 달러(약 61억 원) 등이 있다.

스텝파이낸스를 비롯해 솔라나 기반 프로젝트들이 연이어 공격받고 있다는 점도 우려를 키운다. 스위스의 스위스보르크(SwissBorg)는 2025년 9월, 파트너 API 제공업체 킬른(Kiln)이 해킹당하면서 약 4,150만 달러(약 602억 원) 상당의 자산을 도난당했고, 국내 업비트 또한 2025년 11월 솔라나 자산을 대상으로 한 약 3,600만 달러(약 523억 원) 규모 해킹 피해를 입었다.

역대 최대 하드웨어 해킹도 발생…연방정부 자산도 위험

이달 가장 큰 피해는 하드웨어 지갑을 노린 소셜 엔지니어링 공격이었다. 피해자는 약 2억 8,200만 달러(약 4,097억 원) 상당의 비트코인(BTC)과 라이트코인(LTC)을 탈취당했다. 공격자는 이후 암호화폐를 모네로(XMR)로 세탁하며 거래 흔적을 지웠다고 블록체인 분석가 잭엑스비티(ZachXBT)는 설명했다.

심지어 연방정부 소유 디지털 자산도 안전하지 않았다. 미국연방보안국(US Marshals Service)은 관계 기관들과 협력해 정부 압류 지갑 중 일부에서 발생한 6,000만 달러(약 871억 원) 규모 해킹 의혹에 대한 조사를 진행하고 있다고 밝혔다.

전문가들은 “암호화폐 보안이 단순히 기술적 문제를 넘어 전방위적인 관리 시스템의 문제로 확대되고 있다”고 지적한다. 이번 해킹이 스텝파이낸스라는 개별 프로젝트에 그치지 않고, 전체 디파이 시장의 신뢰도에 미치는 영향을 주목해야 할 시점이다.

💡 “스마트 계약만 봐선 안 되는 이유, '지갑 권한'부터 배워야 합니다”

스텝파이낸스 해킹 사건은 단순한 코딩 취약점이 아닌 지갑 자체의 권한 탈취로 발생했습니다. 디파이와 블록체인에서 자산의 열쇠는 ‘지갑’에 있습니다. 아무리 똑똑한 전략도 지갑이 털리면 무용지물입니다.

토큰포스트 아카데미는 ‘단순 매매’에서 한 걸음 더 나아가 진짜 투자자가 되기 위한 실전 교육 과정을 제공합니다.

• 1단계 The Foundation: 메타마스크 설정법부터 핫월렛과 콜드월렛 활용까지, 암호화폐 투자의 기본이 되는 보안 지식과 세금 처리법을 체계적으로 학습합니다.
• 2단계 The Analyst: 단순 포럼 글이 아닌 토크노믹스와 온체인 데이터를 근거로 ‘이 프로젝트가 진짜인가?’를 분석할 수 있는 눈을 키웁니다.
• 5단계 The DeFi User: 스테이킹, 렌딩, LP, 비영구적 손실, LTV 등 디파이 핵심 개념을 실전 중심으로 다루어 해킹이나 손실에 대비한 방어 체계를 갖춥니다.

2026년은 단순 매수·매도에서 벗어나, '내 지갑을 스스로 지키는 지식'이 생존을 좌우합니다.

디파이, 지금 제대로 배우지 않으면 당할 수밖에 없습니다.

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 기초 보안부터 온체인 분석, 디파이·선물옵션까지 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.