[TOKEN WATCH] '인간을 증명한다'던 프로토콜, 정작 투자자 지갑은 지키지 못했다

TOKEN WATCH KOREA는 제도가 투자자를 보호하기 전까지 미디어가 그 자리를 채워야 한다는 판단에서 시작했다. 우리는 이미 한 차례 휴머니티 프로토콜을 기록했다. 공동 창업자의 '봇 고백', 'Fairdrop' 공정성 논란, 그리고 로그인 과정의 보안 우려까지. 그 기록이 오늘, 다른 무게로 읽힌다. 코인을 산 사람이라면 누구나 묻고 싶을 질문 — "내 지갑은 안전한가" — 을 우리가 대신 던진다. [편집자주]

'인간 인증'을 표방하며 출범한 휴머니티 프로토콜(Humanity Protocol)의 사용자 지갑들이 무더기로 털리고 있다. 봇 논란과 에어드랍 공정성 시비로 신뢰가 흔들려온 프로젝트가, 이번에는 가장 본질적인 영역 — 자산의 안전 — 에서 무너지고 있다.

■ 휴머니티 프로토콜 연관 지갑이 털리고 있다

온체인 분석업체 스펙터(Specter)는 9일 휴머니티 프로토콜과 연관되거나 상호작용한 지갑들이 해킹 공격을 받고 있다고 밝혔다. 스펙터는 H 토큰을 보유한 지갑 17개 이상이 피해를 입었으며, 손실액은 1,900만 달러(약 285억 원)를 넘는 것으로 추정했다.

공격 동기는 아직 확인되지 않았다. 다만 스펙터는 공격 패턴상 피해 지갑들이 휴머니티 프로토콜 관련 위험에 공통적으로 노출됐을 가능성을 제기했다. 무작위로 흩어진 개별 피싱이 아니라, 이 프로젝트와 접점이 있던 지갑들이 한꺼번에 표적이 됐다는 의미다.

■ 손실 규모는 실시간으로 불어나고 있다

피해 규모는 보도가 나가는 동안에도 커지고 있다. 또 다른 온체인 추적 서비스 온체인 렌즈(Onchain Lens)는 같은 날 휴머니티 프로토콜 연관 주소에서 빠져나간 금액이 3,100만 달러(약 465억 원)를 넘어섰다고 집계했다. 탈취는 현재진행형이며, 해커는 빼낸 H 토큰을 이더리움(ETH)으로 바꾸고 있는 것으로 파악된다.

두 수치 모두 온체인 분석업체의 추정치이며 휴머니티 측이 공식 확인한 금액은 아니다. 집계 주체와 시점에 따라 규모가 달라지고 있어, 최종 피해액은 현재 알려진 것보다 더 늘어날 수 있다.

■ '공통 위험 노출'이라는 단서

이번 사건의 핵심 단서는 '공통 위험 노출'이다. 피해 지갑들이 휴머니티 프로토콜과 상호작용했다는 공통점을 공유한다면, 개별 사용자의 부주의가 아니라 어떤 공유된 경로 — 승인(approval)·서명 흐름, 프론트엔드, 로그인 처리 등 — 가 공격 벡터일 가능성을 배제할 수 없다. 다만 현재까지 구체적 벡터는 확정되지 않았고, 휴머니티 측의 공식 입장도 나오지 않았다.

참고할 전례는 있다. 앞서 휴머니티 프로토콜을 사칭한 가짜 에어드랍 사이트가 지갑 연결을 유도해 자산을 빼내는 '드레이너(drainer)' 피싱이 보고된 바 있다. 이번 건과의 직접적 연관성은 확인되지 않았으나, 이 프로젝트의 사용자층이 이전부터 표적이 되어 왔다는 사실은 분명하다.

■ 우리는 이미 보안 우려를 기록했다

토큰포스트는 앞서 휴머니티 프로토콜을 다루며 여러 위험 신호를 기록했다. 공동 창업자 테런스 콕이 등록된 900만 개 Human ID 중 약 88%가 봇일 수 있다고 인정한 '봇 고백', 인증을 완료한 사용자가 보상에서 배제됐다는 'Fairdrop' 공정성 논란, 그리고 이메일 기반 로그인 과정에서 개인 키가 일시적으로 평문 상태로 처리된다는 보안 우려가 그것이다.

이 가운데 과거의 로그인 보안 우려는 사용자단 처리 방식에 대한 지적으로, 이번 재단 내부 키 유출과는 별개 사안이다. 둘을 인과로 단정할 근거는 아직 없다. 다만 '신뢰'와 '보안'을 단일 상품으로 팔아온 프로젝트에서 보안 신호가 거듭 켜졌다는 사실 자체는, 그 우려들이 가볍게 넘길 사안이 아니었음을 시사한다.

■ '신뢰'를 팔던 프로젝트의 역설

휴머니티 프로토콜의 캐치프레이즈는 "비밀번호 없이, 증명만으로"다. 봇과 시빌(Sybil) 공격을 막아 Web3에 검증된 인간을 올린다는 인간 인증 인프라를 표방해왔다. 그런 프로젝트의 사용자들이 지금 자산을 잃고 있다.

가격 측면의 충격은 별개의 변수다. H 토큰은 6월 2일 사상 최고가를 찍은 뒤 조정 국면에 있었고, 이번 사건이 시세에 미친 즉각적 영향은 집계처마다 엇갈려 확정적으로 말하기 어렵다. 그러나 가격보다 본질적인 손상은 따로 있다. 프로젝트가 팔아온 단 하나의 상품, '신뢰' 그 자체다.

■ 정작 한국 투자자에겐, 누가 알렸나

H는 빗썸·코인원 등 국내 원화마켓에 상장돼 있다. 해외에서는 바이비트·쿠코인·게이트·MEXC 등에서도 거래된다. 이번 사태로 자산이 위험에 노출된 사람 중 상당수가 한국 투자자라는 뜻이다.

문제는 경보가 도달하는 경로다. 재단의 '브릿지·LP 중단' 권고는 휴머니티 공식 채널과 X(영어권)를 통해 나왔다. 그러나 한국의 개인 투자자가 실제로 위험을 확인하는 창구는, 자신이 코인을 산 거래소의 공지사항과 거래유의종목 지정이다. 보도 시점 기준, 국내 거래소에서 이번 침해와 직접 연동된 투자자 안내나 입출금 관련 조치는 확인되지 않았다. 이 상황은 시간 단위로 바뀔 수 있어 토큰포스트가 계속 모니터링한다.

가상자산이용자보호법은 거래소에 이용자 보호 의무를 부여하고, 중요사항을 적시에 공시하지 않는 종목을 거래유의종목으로 지정할 권한을 준다. 실제로 국내 거래소들은 '중요사항 미공시'를 사유로 거래유의종목을 지정해 왔다. 재단이 직접 개인키 유출과 자금 탈취를 시인한 사안이라면, 그 정보가 한국 투자자에게 모국어로, 그들이 쓰는 플랫폼에서 전달되는지가 관건이다.

이것이 TOKEN WATCH KOREA가 반복해 확인해온 공백이다. 경고는 어딘가에 분명히 존재한다. 다만 그 경고가, 정작 돈을 넣은 사람에게는 닿지 않는다.

■ 토큰포스트는 계속 기록한다

무응답, 무소통, 그리고 보안 공백. TOKEN WATCH KOREA가 추적해온 투자자 보호의 공백이 이번 사건에 그대로 겹친다. 토큰포스트는 휴머니티 측의 공식 대응 여부, 피해 규모 확정치, 공격 벡터 분석 결과를 계속 업데이트할 예정이다.

토큰포스트는 이러한 구조적 리스크에 선제 대응하기 위해 프로젝트의 투명성과 정보 신뢰도를 높이는 자율 공시 체계 'DADS(Digital Asset Disclosure Standard, 디지털 자산 자율 공시 기준안)'를 준비해왔다. 인간을 증명하겠다던 프로젝트가 정작 사용자의 자산을 지키지 못한 이번 사건은, 자율 공시와 보안 검증 인프라의 필요성을 다시 한번 드러낸다.

답장이 없는 곳들, 그리고 안전하지 못한 곳들 — 우리가 계속 기록할 것이다.

본 기사에 인용된 피해 규모와 가격은 보도 시점 기준 온체인 분석업체 추정치이며, 휴머니티 프로토콜 측의 공식 확인 사항이 아닙니다. 투자 판단의 책임은 투자자 본인에게 있습니다.