최근 6개월 DeFi 해킹 3670만달러…미검증 계약이 표적 됐다

김미래 기자

2026.06.10 (수) 12:17

체이널리시스는 최근 6개월간 미검증 스마트 계약이 연루된 DeFi 해킹 피해가 최소 3670만달러에 달했다고 밝혔다.

코드를 숨기면 안전하다는 인식이 약해지는 가운데 소스코드 검증과 상시 점검이 핵심 대응책으로 제시됐다.

최근 6개월 DeFi 해킹 3670만달러…미검증 계약이 표적 됐다 / TokenPost.ai

최근 6개월간 공개되지 않은 스마트 계약이 연루된 탈중앙화금융(DeFi) 해킹 피해가 최소 3670만달러에 달한 것으로 나타났다. 블록체인 분석업체 체이널리시스(Chainalysis)는 공격자들이 소스코드가 검증되지 않은 프로토콜을 집중적으로 노리고 있다며, ‘숨긴 코드’가 더 이상 방어 수단이 아니라고 경고했다.

체이널리시스에 따르면 가장 큰 피해는 트루비트(Truebit)에서 발생했다. 트루비트는 이더리움(ETH)에서 2021년부터 검증되지 않은 채 남아 있던 계약의 정수 오버플로 취약점을 공격당해 2620만달러를 잃었다. 이 밖에도 트러스티드 볼륨스(Trusted Volumes), 아페처 파이낸스(Aperture Finance), 에쿠보(Ekubo) 등이 같은 방식의 피해를 입었다.

체이널리시스는 이번 사례들의 공통점으로 ‘미검증 계약’을 지목했다. 블록체인 탐색기에서 소스코드가 공개되지 않아 보안 연구자들의 점검이 어려웠고, 상당수 버그 바운티 프로그램에서도 제외됐다는 설명이다. 사실상 사용자 자금을 다루면서도 외부 검증이 닿지 않는 구조가 취약점을 키운 셈이다.

회사는 또 디컴파일 도구와 인공지능(AI) 발전이 공격 난도를 낮추고 있다고 봤다. 과거에는 숙련된 역공학자가 계약 하나를 분석하는 데 며칠이 걸렸지만, 이제는 대량의 미검증 계약을 상대로 취약점을 더 빠르게 찾아낼 수 있다는 것이다. 체이널리시스는 DeFi 업계가 오랫동안 가정해온 ‘코드를 숨기면 더 안전하다’는 논리가 빠르게 힘을 잃고 있다고 지적했다.

이에 따라 체이널리시스는 소스코드 검증, 더 넓은 버그 바운티 적용, 실시간 모니터링 도구 도입을 대응책으로 제시했다. 결국 이번 보고서는 DeFi 보안의 핵심이 ‘비공개’가 아니라 ‘검증 가능성’에 있다는 점을 다시 보여준다. 해킹이 늘어나는 환경에서는 코드 공개와 상시 점검이 가장 기본적인 방어선으로 떠오르고 있다.

[마켓분석] 알파벳, AI CAPEX 위해 800억 달러 증자… 버핏도 '100억 달러 베팅'

알파리포트 전문 보기 →

한편 올해 4월에는 암호화폐 해킹 피해가 6억2970만달러로 치솟으며 월간 기준 최근 1년 사이 가장 큰 규모를 기록했다. 이후 5월 피해액은 6830만달러로 줄었지만, 대형 공격의 여파는 이어지고 있다. DeFi 보안 사고가 반복되면서 업계 전반에 대한 경계감도 한층 높아진 모습이다.

기사요약 by TokenPost.ai

🔎 시장 해석
최근 6개월간 DeFi 해킹 피해 최소 3670만달러 발생
공격자들은 소스코드가 공개되지 않은 ‘미검증 스마트컨트랙트’를 집중 공략
AI와 디컴파일 기술 발전으로 숨겨진 코드도 빠르게 분석 가능해지며 보안 패러다임 변화
‘코드를 숨기면 안전하다’는 기존 인식은 사실상 붕괴

💡 전략 포인트
프로토콜 선택 시 코드 검증 여부는 필수 체크 요소
버그 바운티 프로그램 운영 여부가 보안 성숙도 판단 기준으로 부상
실시간 모니터링 및 이상 거래 탐지 시스템 도입 중요성 확대
장기적으로는 ‘투명성 기반 보안’ 프로젝트가 시장 신뢰를 확보할 가능성 높음

📘 용어정리
미검증 스마트컨트랙트: 소스코드가 공개되지 않아 외부 검증이 어려운 계약
정수 오버플로: 숫자 계산 범위를 초과해 잘못된 값이 발생하는 취약점
디컴파일: 기계어 형태 코드를 사람이 이해할 수 있는 형태로 변환하는 기술
버그 바운티: 보안 취약점을 발견해 신고하면 보상을 제공하는 제도