드리프트 2,850억원 해킹에 솔라나 DeFi 전체 흔들…TVL 하루 만에 1조원 증발

12분 만에 2,850억원이 사라졌다

4일 전, 솔라나 기반 탈중앙화 무기한 선물 거래소 드리프트 프로토콜(Drift Protocol)이 대규모 해킹 공격을 받았다. 보안 분석 기업 TRM랩스에 따르면 공격자는 약 12분 만에 2억 8,500만 달러(약 3,948억 원)를 탈취했다. 드리프트 측은 공식 채널을 통해 이례적으로 "이것은 만우절 농담이 아니다"라고 명시하며 긴급 공지를 내놓아야 했다.

피해 규모는 올해 DeFi 역대 최대 해킹이다. 솔라나 역사상으로도 2022년 웜홀(Wormhole) 브리지 해킹(3억 2,600만 달러)에 이어 두 번째로 큰 규모다.

드리프트의 TVL은 공격 직후 5억 5,000만 달러에서 2억 4,000만 달러대로 급락했다. DRIFT 토큰 가격은 24시간 내 최대 47% 폭락하며 0.04달러대까지 내려앉았다.

코드 버그가 아니었다. 거버넌스를 뚫었다

이번 공격은 스마트 컨트랙트 코드 취약점을 이용한 통상적인 해킹이 아니었다. 공격자는 '소셜 엔지니어링'과 솔라나의 정상적인 기능인 '듀러블 논스(Durable Nonce)'를 조합해 거버넌스 구조 자체를 장악했다.

준비는 3주 전부터 시작됐다. 3월 11일, 공격자는 이더리움 믹서 토네이도 캐시(Tornado Cash)에서 ETH를 인출한 뒤, 이를 활용해 완전한 허구의 자산 '카본보트 토큰(CVT)'을 발행했다. 블록체인 분석가들은 CVT 배포 타임스탬프가 평양 시간 오전 9시에 해당한다는 점을 주목했고, TRM랩스와 엘립틱(Elliptic)은 독립적으로 이번 공격이 북한 연계 해킹 조직의 수법과 일치한다고 평가했다.

이후 공격자는 라이덤(Raydium) DEX에서 CVT의 최소한의 유동성을 세팅하고 세탁 거래로 가격을 띄웠다. 그리고 3월 23~30일 사이, 드리프트 시큐리티 카운슬 멀티시그 서명자들을 속여 겉으로는 일상적으로 보이는 트랜잭션에 사전 서명을 받아냈다. 이 서명들은 공격자가 원하는 시점에 즉시 실행할 수 있는 '예약 실행 키'가 됐다.

결정적 취약점은 3월 27일 드리프트 스스로가 만들었다. 이 날 드리프트는 시큐리티 카운슬을 2-of-5 서명 구조로 전환하면서 타임락(Timelock)을 완전히 제거했다. 타임락은 관리자 행동에 24~72시간의 지연을 강제해 이상 행동 포착 기회를 주는 안전장치다. 타임락이 사라지는 순간, 공격자의 사전 서명된 트랜잭션은 즉시 집행 가능한 상태가 됐다.

4월 1일, 공격자는 CVT를 유효 담보로 등록하고 출금 한도를 상향한 뒤, 수억 달러의 CVT를 예치해 드리프트의 리스크 엔진으로부터 실제 자산을 인출했다. 탈취된 자산은 USDC, SOL, JLP, WBTC 등을 포함했으며, 공격자는 Solana에서 USDC로 스왑한 후 CCTP(크로스체인 트랜스퍼 프로토콜)를 통해 이더리움으로 브리지해 ETH로 전환했다.

Trail of Bits(2022)와 ClawSecure(2026년 2월)의 보안 감사를 통과했던 프로토콜이었지만, CVT 시장 도입과 최근 거버넌스 변경 사항은 감사망을 빠져나갔다.

전염은 즉각적이었다

드리프트의 해킹은 직접 연루된 프로토콜 너머로 빠르게 번졌다. 20개 이상의 솔라나 프로토콜이 연쇄 영향을 받았다.

드리프트와 직·간접적으로 연동된 프로토콜들은 피해 현황을 공개하며 긴급 조치에 나섰다. 캐럿 프로토콜(Carrot Protocol)은 TVL의 50%가 영향을 받아 민트·리딤 기능을 중단했다. 파이라 프로토콜(Pyra Protocol)은 출금을 전면 차단했다. 레인저 파이낸스(Ranger Finance)는 90만 달러 이상의 노출을 확인하고 RGUSD 입출금을 정지했다. 프라임 넘버스 파이(Prime Numbers Fi)는 수백만 달러 손실을 보고했다. 피기뱅크(PiggyBank)는 10만 6,000달러의 피해를 팀 자금으로 즉시 보전했다.

직접 노출이 없던 프로토콜들도 피해를 벗어나지 못했다. 솔라나 전체 DeFi TVL은 익스플로잇 확인 이후 수 시간 만에 약 10억 달러 감소해 65억 4,400만 달러로 떨어졌다. 지토(Jito, -4.3%), 레이디움(Raydium, -4.33%), 생텀(Sanctum, -3.83%) 등 드리프트와 직접 연관이 없는 주요 프로토콜들도 일제히 자금 유출을 기록했다.

DeFi에서 신뢰는 프로토콜 단위가 아니라 생태계 단위로 작동한다. 사용자들은 두 번째 확인을 기다리지 않는다. 먼저 인출하고 나중에 판단한다.

SOL 가격에도 직격탄

솔라나(SOL) 가격도 직격탄을 맞았다. 4월 2일 SOL은 약 78~83달러 구간에서 거래됐고, 24시간 내 최대 6% 이상 하락했다. 주간 기준으로는 11% 하락으로, 주요 암호화폐 중 낙폭이 가장 컸다. 미국 현물 솔라나 ETF는 같은 날 784만 달러의 순유출을 기록하며 역대 4번째로 큰 일일 유출을 나타냈다.

다만 DeFi 해킹 충격과 별도로 같은 시기 트럼프 대통령의 이란 군사 위협 발언이 맞물리며 WTI 원유가 최대 13% 급등하는 등 거시 환경도 동시에 악화됐다는 점은 변수다.

거버넌스가 새로운 공격 벡터다

이번 해킹이 남긴 가장 무거운 교훈은 공격 벡터의 변화다. 스마트 컨트랙트 버그보다 거버넌스 구조와 인간의 판단이 더 취약할 수 있다는 것이 다시 한번 확인됐다.

타임락 제거, 멀티시그 구성 변경, 감사를 통과한 코드의 이면에서 진행된 사회공학적 접근. 드리프트 해킹은 기술적 보안 감사만으로는 막을 수 없는 공격이 이미 현실화됐음을 보여준다. 업계 전반에서 거버넌스 설계, 키 관리, 타임락 필수화에 대한 기준 재정립이 요구되고 있다.

DeFi에서 첫 번째 손실은 자금이다. 두 번째 손실은 신뢰다. 그리고 신뢰는 TVL보다 훨씬 느리게 돌아온다.