이더리움 디파이 보상 허점에 20만달러 증발…오픈제플린 창업자 “모든 디파이 안전하지 않다”

이더리움(ETH) 기반 디파이(DeFi) 유동성 풀에서 약 20만달러가 빠져나갔다. 단순한 해킹이 아니라 보상 시스템의 허점을 노린 ‘반복 채굴’ 방식이었다.

보안업체 ExVul에 따르면 공격자는 유니스왑 V3(Uniswap V3)에서 WUSD.fi와 GLOVE 인센티브 구조의 약점을 악용해 자금을 여러 지갑으로 돌리며 보상을 계속 챙겼다. 프로토콜 설계에 내재한 허점을 파고든 셈이다. 최근에는 유니스왑을 사칭한 구글 광고 피싱까지 겹치며, 이용자 자산이 최소 40만달러 빠져나간 사례도 보고됐다.

오픈제플린 창업자 “모든 디파이가 안전하지 않다”

이 같은 연쇄 사고 속에 오픈제플린(OpenZeppelin) 창업자 마누엘 아라오즈(Manuel Aráoz)는 “이제 ‘모든’ 디파이(DeFi)를 안전하지 않다고 본다”고 공개적으로 경고했다.

그의 핵심 논리는 간단하다. 방어 측은 모든 취약점을 찾아야 하지만, 공격자는 단 하나의 구멍만 찾아도 자금을 빼갈 수 있다는 것이다. 블록체인 보안의 구조적 비대칭이 다시 드러났다는 해석이 나온다.

AI 도구가 공격자 손에 더 큰 무기 됐다

아라오즈는 이 불균형이 더 심해진 배경으로 AI 기반 코딩 도구를 지목했다. 그는 이런 도구가 공격자에게 스마트컨트랙트의 취약점을 훨씬 빠른 속도로 찾아낼 수 있는 환경을 제공한다고 봤다.

실제로 사이버 보안 업계에서도 AI가 피싱 인프라 구축, 취약점 탐색, 공격 시뮬레이션 속도를 끌어올리고 있다는 우려가 커지고 있다. 아라오즈는 지인들에게 에이브(AAVE), 메이커다오, 컴파운드 같은 주요 디파이 플랫폼에서 자금을 빼두라고 권고한 것으로도 알려졌다. 이는 대형 프로토콜이라고 해도 계속된 점검 없이 안심하기 어렵다는 신호로 읽힌다.

복잡해진 구조, 더 넓어진 공격면

문제는 최근 디파이(DeFi) 프로토콜이 브리지, 대출, 스테이킹, 자동 보상 계약을 겹겹이 얹는 방향으로 진화했다는 점이다. 기능이 늘수록 편의성은 높아지지만, 동시에 방어해야 할 표면도 넓어진다.

오픈제플린 역시 ERC-2771과 Multicall 표준이 함께 쓰일 때 예상치 못한 취약점이 생길 수 있다고 경고한 바 있다. 주요 프로토콜들은 감사, 버그 바운티, 형식 검증에 막대한 자원을 투입하고 있지만, 피싱과 인센티브 조작 같은 수법은 여전히 완전히 막지 못하고 있다.

결국 이번 사건은 이더리움(ETH) 생태계 전반의 보안 경쟁이 더 빠른 공격 기술을 따라가야 하는 단계에 들어섰음을 보여준다. 특히 자금력이 부족한 중소형 디파이 프로젝트는 AI를 활용해 고도화되는 공격에 더 취약할 수 있다는 지적이 나온다.

---

기사요약 by TokenPost.ai 🔎 시장 해석 이번 사건은 단순 해킹이 아닌 ‘보상 설계 취약점’ 악용 사례로, 디파이의 구조적 리스크가 다시 드러났다. AI 기반 도구 확산으로 공격자의 취약점 탐지 속도가 빨라지며 보안 비대칭이 더욱 심화되고 있다. 대형 프로토콜까지도 절대적 안전지대가 아니라는 인식이 시장 전반에 확산되는 분위기다. 💡 전략 포인트 디파이 투자 시 코드 보안뿐 아니라 ‘토크노믹스(보상 구조)’까지 점검하는 시각이 필요하다. 지갑 분산, 승인 권한 최소화, 공식 경로 접속 등 기본적인 보안 수칙을 철저히 지켜야 한다. AI 시대에는 공격도 자동화되므로, 업데이트·감사 이력이 활발한 프로토콜 위주로 접근하는 것이 유리하다. 📘 용어정리 유동성 풀: 코인 교환을 위해 자산을 모아둔 스마트컨트랙트 기반 자금 풀 인센티브 설계: 사용자 행동을 유도하기 위한 토큰 보상 구조 멀티콜(Multicall): 여러 스마트컨트랙트 호출을 한 번에 처리하는 기능 ERC-2771: 가스 대납 트랜잭션을 위한 메타 트랜잭션 표준 피싱: 사용자를 속여 지갑 권한이나 개인 키를 탈취하는 공격 방식

💡 자주 묻는 질문 (FAQ)

Q. 이번 디파이 사건은 해킹인가요, 아니면 설계 문제인가요? 이번 사례는 전통적인 해킹이라기보다 ‘보상 구조(토크노믹스)의 허점’을 악용한 공격입니다. 스마트컨트랙트 자체를 깨뜨린 것이 아니라, 여러 지갑을 활용해 보상을 반복 수령하는 방식으로 자금을 빼낸 것이 핵심입니다. Q. 왜 AI가 디파이 보안을 더 어렵게 만들고 있나요? AI는 스마트컨트랙트 코드를 빠르게 분석하고 취약점을 자동으로 탐색할 수 있어 공격자의 생산성을 크게 높입니다. 반면 방어 측은 모든 취약점을 막아야 하기 때문에, 이런 기술 발전은 보안의 불균형을 더욱 키우는 요인이 됩니다. Q. 일반 사용자는 디파이 이용 시 무엇을 가장 조심해야 하나요? 공식 사이트 확인, 지갑 권한 최소화, 의심스러운 링크 클릭 금지 같은 기본적인 보안 수칙이 가장 중요합니다. এছ בנוסף, 높은 수익을 제시하는 신규 프로젝트일수록 보상 구조의 허점을 노린 공격 가능성도 함께 고려해야 합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.