디파이 생태계가 또다시 보안 위협에 흔들리고 있다. 탈중앙화 거래소 크레딕스파이(CrediX_fi)에서 발생한 해킹 사건으로 약 450만 달러(약 62억 5,500만 원) 규모의 자산이 유출되면서, 시장 신뢰가 큰 타격을 입었다. 이번 침해는 단순한 스마트 계약 취약점이 아닌, 핵심 관리자 권한이 탈취되면서 발생한 사건으로 평가된다.
보안 분석 업체 펙실드(PeckShield)에 따르면, 해커는 '662e'로 끝나는 관리자 계정을 통해 광범위한 프로토콜 권한을 접수했다. 해당 계정은 POOL_ADMIN, BRIDGE, ASSET_LISTING_ADMIN, EMERGENCY_ADMIN, RISK_ADMIN 등 프로토콜 핵심 운영 권한을 모두 포함하고 있었으며, 이 권한을 활용해 비담보 상태로 토큰을 발행하고 유동성을 흡수하는 방식으로 공격을 감행했다.
특히 BRIDGE 역할을 이용해 크레딕스의 소닉 USDC 시장 내에 존재하는 합성자산인 acUSDC를 무담보로 발행하며 자산을 탈취한 점은 거래소 내부 보안 관리의 허점을 드러낸다. 한 마디로 시스템 무결성이 완전히 깨진 셈이다. 이로 인해 거래소는 긴급 조치로 웹사이트 운영을 중단하고, 사용자들에게 스마트 계약을 통한 직접 출금만을 허용하고 있는 상황이다.
개발진은 아직까지 사고 원인에 대한 공식 감식 보고서나 긴급 복구 로드맵을 제시하지 않고 있다. 이에 여러 보안 전문가들은 시스템 전반에 대한 신뢰가 무너졌으며, 현재로선 크레딕스와 연관된 어떠한 투자나 거래도 피해야 한다고 경고했다.
또한 이번 사건은 '슈퍼 관리자 계정' 하나가 전체 프로토콜 운용에 절대적인 영향력을 행사할 수 있다는 구조적 문제를 드러냈다. 익명의 하나의 주소가 여러 핵심 시스템에 대한 제어권을 가짐으로써 생긴 단점이 곧바로 전체 생태계 붕괴로 이어진 것이다. 이는 디파이 보안 모델 설계 차원에서도 단일 실패 지점(Single Point of Failure) 방지 전략의 필요성을 환기시키는 사례다.
전문가들은 이 사건이 크레딕스 관련 자산 전반에 걸친 신뢰 붕괴와 유동성 고갈로 이어질 가능성이 높다고 전망했다. acUSDC는 물론, 프로토콜 내 거버넌스 및 유틸리티 기반 토큰들마저도 기능적 무력화에 직면할 수 있다. 궁극적으로는 외부 감사를 통한 온체인 분석과 완전한 거버넌스 재구축 없이는 생태계 회복이 불가능하다는 것이 중론이다.
크레딕스 해킹 사건은 탈중앙화를 표방하는 디파이 프로토콜일지라도 거버넌스 구조와 권한 관리의 체계적 결함이 존재하면 언제든 전체 시스템이 무너질 수 있음을 보여줬다. 이번 사태는 디파이 산업 전반에 걸쳐 ‘보안 설계의 기준을 다시 세울 시기’가 도래했음을 상기시킨다.