스테이크DAO 연계 지갑 해킹 의심…아비트럼서 5.4조 vsdCRV 민팅

정민석 기자

2026.05.28 (목) 04:06

스테이크DAO와 연계된 배포자 키 탈취 의심 속에 아비트럼에서 5.4조개 vsdCRV가 민팅됐지만, 실제 현금화 규모는 약 9만1000달러에 그쳤다고 전했다.

이번 사건은 스마트컨트랙트 취약점보다 운영 키 관리 실패와 얇은 유동성 구조가 디파이 보안의 핵심 변수임을 보여준다고 밝혔다.

스테이크DAO 연계 지갑 해킹 의심…아비트럼서 5.4조 vsdCRV 민팅 / TokenPost.ai

아비트럼(ARB)에서 스테이크DAO와 연결된 배포자 키가 탈취됐다는 의심 속에 5조4000억개가 넘는 vsdCRV가 민팅되는 사고가 발생했다. 다만 유동성이 얇아 실제 현금화된 금액은 9만1000달러 수준에 그쳤다.

블록체인 보안업체 펙실드에 따르면 공격자는 16일 민팅한 일부 vsdCRV를 이더리움(ETH) 43.7개로 바꿔 약 9만1000달러를 확보한 뒤 자금을 이더리움 네트워크로 브리지했다. 온체인 분석가 엠버CN은 공격자가 약 1683만개 vsdCRV를 교환했으며, 나머지 토큰은 사실상 빠져나갈 만한 유동성이 거의 없었다고 분석했다.

엠버CN은 5.4조개 vsdCRV의 명목 가치를 약 7630억달러로 추산했지만, 이는 실제 수익이나 프로토콜 손실을 뜻하지는 않는다. 이번 사례는 탈중앙화금융(DeFi) 공격에서 토큰의 ‘표면 가치’와 실제 회수 가능한 가치가 얼마나 크게 다를 수 있는지 보여준다.

스테이크DAO는 사고를 인지했다고 밝히며 이용자들에게 vsdCRV와의 상호작용을 삼가 달라고 공지했다. 사건의 핵심은 스마트컨트랙트 자체의 취약점보다 운영 키 관리 실패에 있었다는 점이다.

암호화폐 키 관리 업체 소돗의 공동창업자이자 최고제품책임자(CPO)인 샬레브 케렌은 이번 사고가 최근 잇따른 배포자 키 탈취 사례와 구조적으로 비슷하다고 설명했다. 그는 “단일 배포자 키가 권한 있는 설정 기능을 통제하고 있었고, 멀티시그와 지연장치가 없었다”고 지적했다.

[경제분석] "AI는 어디에 있는가, GDP 통계 속에서"... 'AI GDP'라는 새로운 자(尺)

알파리포트 전문 보기 →

케렌에 따르면 아비트럼의 단일 배포자 키는 vsdCRV의 크로스체인 브리지 설정을 공격자 통제 계약으로 바꿨고, 약 25초 뒤 해당 계약이 다시 레이어제로 메시지를 보내면서 아비트럼 측 토큰이 대량 민팅됐다. 그는 “문제는 레이어제로가 아니라 하나의 개인키가 하나의 핵심 기능을 쥐고 있었던 구조”라며, 2026년 DeFi 보안의 초점이 감사 여부를 넘어 운영 키의 분산 관리로 옮겨가고 있다고 말했다.

결국 이번 해킹 의심 사건은 대규모 민팅 자체보다도, 유동성과 운영 통제가 허술할 때 피해가 어떻게 제한되거나 확대될 수 있는지를 보여준다. DeFi 시장에서 ‘보안’은 코드만의 문제가 아니라 키 관리와 권한 설계까지 포함된다는 점이 다시 드러났다.

기사요약 by TokenPost.ai

🔎 시장 해석
이번 사건은 디파이 해킹이 단순한 코드 취약점이 아니라 ‘운영 키 관리’ 문제에서 발생할 수 있음을 보여준다. 명목상 수천억 달러 규모의 토큰이 발행됐지만, 실제 현금화는 제한적이었다는 점은 유동성의 중요성을 다시 부각시킨다.

💡 전략 포인트
투자자는 단순히 프로젝트의 코드 감사 여부뿐 아니라 멀티시그 적용 여부, 권한 분산 구조, 브리지 설정 방식 등을 확인해야 한다. 특히 유동성이 낮은 토큰은 가격 왜곡 및 급격한 손실 위험이 크기 때문에 주의가 필요하다.

📘 용어정리
민팅: 새로운 토큰을 발행하는 행위
브리지: 서로 다른 블록체인 간 자산 이동을 돕는 기술
멀티시그: 여러 개의 서명이 있어야 실행되는 보안 방식
유동성: 자산을 시장에서 실제로 사고팔 수 있는 정도