2025년 상반기 동안 암호화폐 시장에서 발생한 해킹·피싱 사기 피해액이 약 2조 9,540억 원(22억 달러)을 웃돌며 지난해 전체 피해 규모를 넘어섰다. 블록체인 보안업체 서틱(CertiK)의 최신 보고서에 따르면, 올해 1월부터 6월까지 총 344건의 온체인 보안 사고가 발생했다.
특히 지갑 해킹은 전체 피해액 중 약 2조 3,630억 원(17억 달러)을 기록하며 단 34건의 사고로 막대한 손실을 초래했다. 피싱 사기는 132건의 사고에서 약 5,700억 원(4억 1,000만 달러)의 피해를 발생시켰다.
올해 최대 해킹은 2월에 발생한 바이빗(Bybit) 피습 사건으로, 스테이킹된 이더리움 관련 지갑이 공격받으면서 약 2조 850억 원(15억 달러)이 유출됐다. 이와 함께 5월에는 세투스 프로토콜(Cetus Protocol)이 스마트 계약 취약점에 노출되며 약 3,130억 원(2억 2,500만 달러)의 피해를 입었다. 다행히 수이(Sui) 밸리데이터들의 협력으로 약 2,250억 원(1억 6,200만 달러)이 회수됐다.
공격 대상 중 가장 집요하게 노려진 블록체인은 이더리움(ETH)이었다. 전체 175건 중 이더리움 기반에서 발생한 피해액만 약 2조 2,240억 원(16억 달러)에 달한다. 5월 한 달간 스마트 계약 결함으로 인한 피해만 약 3,180억 원(2억 2,900만 달러)에 이르렀으며, 이는 4월의 70억 원(500만 달러) 대비 급증한 수치다.
이번 보고서는 사이버 공격 외에도 물리적 공격이 증가하고 있다는 점도 강조한다. 올해 6개월간 유럽을 중심으로 납치, 폭력, 협박 등이 포함된 물리적 공격이 32건 발생했으며, 특히 프랑스에서는 파이미엄(Paymium) CEO 가족을 대상으로 한 납치 시도가 확인됐다.
그럼에도 불구하고 약 2,600억 원(1억 8,700만 달러) 상당의 자산이 화이트햇 해커와 수사기관, 거래소의 협업을 통해 회수됐다. 하지만 공격 수법이 점차 정교하고 악의적으로 진화하는 만큼, 보안 강화를 위한 글로벌 업계의 공동 대응이 시급하다.
전문가들은 개인 키 관리 문제를 최대 취약점으로 지목했다. 암호화폐 지갑의 프라이빗 키가 암호화 없이 보관되거나 단일 관리자에게 집중되는 경우가 많은데, 이는 해커에게 절호의 공격 기회를 제공하는 구조적 위험 요소다.
이번 보고서는 탈중앙화 금융(DeFi)과 웹3 생태계가 확대되는 가운데, 보안 관행이 그에 걸맞게 진화하지 못하고 있다는 사실을 경고하며 업계의 체계적인 개선 노력을 촉구하고 있다.