크레딕스 해킹 피해 62억 원…2025년 디파이 보안 경고음 커진다

디파이(DeFi) 대출 플랫폼 크레딕스(CrediX)가 출시 직후 해킹 공격을 받아 약 450만 달러(약 62억 5,000만 원)의 피해를 입었다. 현재까지 알려진 바에 따르면 이는 올해 발생한 암호화폐 보안 사고 중 하나로, 2025년 들어 계속되는 크립토 해킹 피해의 흐름과 맞물려 업계 전반에 경고 신호를 보내고 있다.

블록체인 보안 분석 회사 팩쉴드(PeckShield)는 지난 4일 X(구 트위터)를 통해 크레딕스에 대한 공격 사실을 알렸다. 해킹은 관리자 권한을 가진 지갑 계정 ‘EC662e’가 악용되면서 발생했으며, 이 지갑은 플랫폼 자금의 리스트 관리, 위험 설정, 풀 운영 등 여러 핵심 기능에 접근할 수 있는 POOL_ADMIN, BRIDGE, RISK_ADMIN 등의 역할을 수행할 수 있었다. 특히 'BRIDGE' 권한을 통해 acUSDC 토큰이 대거 탈취되며 손실이 발생했다.

이번 공격은 여러 탈중앙화 브릿지와 프로토콜을 통해 자금이 분산 이동한 복합적인 수법으로 확인됐다. 데브릿지 파이낸스(deBridge Finance), 플라이(Fly, 구 맥파이), 섀도우 익스체인지 등 다수 플랫폼이 동원돼 추적을 더욱 어렵게 만들었다.

크레딕스는 지난달 초에 정식 서비스를 시작하며, 수익 전략과 대출 옵션, 참여 보상, 유동성 공급 기능 등을 제공해 주목을 받았다. 그러나 서비스 개시 불과 몇 주 만에 해킹당하면서 보안 취약점이 드러났다. 이에 대해 크레딕스 측은 공식 성명을 통해 사용자 자산을 24~48시간 내 전액 복구하겠다고 약속했다.

2025년 상반기만 해도 해킹 및 취약점 악용으로 인한 총 피해액은 30억 달러(약 4조 1,700억 원)를 넘어섰다. 이는 2024년 전체 피해 규모 대비 10억 달러(약 1조 3,900억 원) 가량 늘어난 수치로, 보안 리스크가 갈수록 커지고 있음을 방증한다.

보안업체 해켄(Hacken)이 공개한 보고서에 따르면, 올해 상반기 발생한 전체 피해 중 약 59%는 시스템 접근권한 통제 실패로 발생했으며, 이는 약 18억 3,000만 달러(약 2조 5,500억 원)에 달한다. 스마트컨트랙트 결함에 따른 피해는 약 2억 6,300만 달러(약 3,650억 원)로, 이 중에서도 세투스(Cetus) 익스플로잇 사건은 단일 사고로 2억 2,300만 달러(약 3,100억 원)의 손실을 기록해 2023년 이후 최악의 분기 사례로 남았다.

디파이 시장의 확산과 인공지능(AI) 기술의 도입 등 블록체인 생태계의 변화 속에서도 보안은 여전히 가장 큰 장애물로 꼽힌다. 라자루스(Lazarus)와 같은 정치적 목적의 해커 조직뿐 아니라 내부자 유출, 단순한 운영 실수 등 다양한 원인이 뚜렷한 대책 없이 반복되는 실정이다.

업계 전문가들은 "자금 안전을 위한 제도적 장치와 컴플라이언스가 절실한 시점"이라고 강조하면서, 향후 프로젝트들이 보안 투자에 소홀하지 않아야 한다고 지적한다. 크립토 산업의 신뢰 회복은 이제 보안 역량과 직결되고 있다.